Вышел срок действия сертификата Exchange

MapiExceptionNetworkError: Unable to mount database
www.microsoft.com

В большинстве организаций срок действия сертификата Exchange составляет 1 или 3 года, ведь это самый распространенный период. Если вы приучили себя при продлении какого-либо сертификата сразу же ставить напоминалку на год вперед о необходимости перевыпуска, то у вас будет все хорошо. Но для тех, кто этого не делает, все может закончиться «внезапным» окончанием срока действия сертификата и авральными работами по его продлению.

Как нельзя кстати под рукой может оказаться эта статья, в которой я подробно объясню как быстро сделать замену некогда действительному сертификату Exchange.


Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.


Вышел срок действия сертификата Exchange

Процесс перевыпуска или запроса новых сертификатов очень важен для организаций, ведь на SSL сейчас основаны практически все клиент-серверные приложения. Особенно нужно обращать на это внимание в том случае, если у вас внедрены одни и те же wildcard-сертификаты на множестве серверов.

Стоит отметить, что задачи, связанные с управлением сертификатами (для Exchange и не только), являются чуть ли не самыми разжеванными в интернете. Тем не менее, на форумах Technet вопросы с сертификатами стабильно лидируют по популярности. Именно поэтому я не прекращаю писать об этих темах статьи.

Как это бывает

Помимо проблем с несвоевременным продлением, вам может также встретиться ситуация с отзывом сертификата со стороны выпускающего центра. Это может случиться в том случае, если вы установили свеженький сертификат, а счет, который центр сертификации присылает позже, оплатить забыли. Это вполне возможно, ведь сертификат вы получаете практически сразу после прохождения всех проверок (проверка по домену или по организации или др.), а счет нужно оплатить уже постфактум.

Примечание: обычно срок оплаты выпущенного сертификата составляет две недели, но все зависит от отношений вашей организации и центром сертификации. По личным договоренностям вы можете продлить срок оплаты. Также перед отзывом сертификата вас обязательно предупредят менеджеры ЦС, при том сделают это несколько раз.

Если вдруг вы нарвались на отзыв сертификата, то попасть даже в ECP у вас не получится. Вот что покажет браузер:

Как видите, кнопочки Продолжить открытие этого веб-сайта (не рекомендуется) тут нет, а следовательно придется поработать ручками в консоли.

Запрос сертификата

Есть несколько путей, чтобы выполнить процедуру генерации CSR-запроса. Самый простой из них — через оснастку Диспетчер служб IIS, который я рассматривал в статье Exchange Hybrid — Подготовка серверов федерации. В этой же статья я рассмотрю более «хардкорный» вариант, когда запрос надо сгенерировать из консоли EMS 1. Итак, сделать это можно командой как в примере ниже:

Примечание: если вдруг надо указать данные об организации, вы можете это сделать внутри параметра -SubjectName, например -SubjectName [C=<CountryOrRegion>, S=<StateOrProvince>, L=<LocalityOrCity>, O=<Organization>, OU=<Department>], CN=<HostNameOrFQDN>.

Папка \\exch01\c$\tmp\cert_01\ должна существовать. После выполнения команды там будет лежать CSR-запрос cert_01.req. С его помощью вы сможете получить сертификат в локальном доменном ЦС, либо отправить его публичному ЦС.

Установка сертификата

Результатом отправки CSR-запроса в ЦС должно быть получение файла с расширением .crt (.cer) и возможно других (сертификаты промежуточных центров). Поместим этот файл (в моем случае он имеет имя certnew.cer) в папку \\exch01\c$\tmp\cert_01\. Далее необходимо завершить запрос на получение командой:

Примечание: логично, что завершать запрос на получение сертификата нужно на том же сервере, на котором этот запрос когда-то был сгенерирован.

Посмотреть существующие сертификаты, доступные для использования сервером Exchange, можно командой:

Запомните значение Thumbprint сертификата, для которого вы только что завершили запрос. Это нужно, чтобы назначить этот сертификат необходимым службам Exchange. Делается это командой:

Осталось только перезапустить IIS (можно это сделать через оснастку Службы, полное название IIS — Служба веб-публикаций (W3SVC)):

Теперь снова можете пользоваться ECP. Если сертификат был получен у локального ЦС, то возможно придется раскидать его по каким-то клиентам вручную, либо через GPO (как это сделать, читайте в статье Сертификат Exchange 2013).

comments powered by HyperComments
Яндекс.Метрика