Локален CA - Заявка за сертификат за Exchange 2013

Искането на сертификат за Exchange 2013 не е трудно само по себе си, но всичко е в детайлите. Вече беше казано много за сертификатите за Exchange и още повече за сертификатите като цяло. Въпреки това, всеки път, когато трябва да се сблъскате отново с проблема със смяна на сертификати, правите всичко отново, както за първи път. Разбира се, как би могло да бъде иначе, защото обикновените администратори трябва да подновяват сертификати не повече от няколко пъти годишно или дори веднъж на всеки 3 години и дори по-рядко. Веднъж изтощен, си мислиш: „Е, най-накрая, сега няма да си спомням този ужас още една година!“. Но точно след такива мисли не боли да съберете останалата сила в юмрук и да го направите отново ... какво? Разбира се със сертификати! Само че този път не с разширение, а с документация за свършеното, за да може следващия път всичко да върви още по-лесно.

В интернет можете да намерите огромен брой статии за подновяване на сертификати за обмен на всяка версия. Изненадващо има изключително адекватни статии не само на англоезични ресурси1, но и на българоезични ресурси2. Ярък пример за това е блогът на Алексей Богомолов3 (блогът е посветен изключително на Exchange Server). Лично аз постоянно използвам този ресурс и го обичам и уважавам много за неговия фундаментален подход към въпроса за подчертаване на проблема.

Преди използвах сертификатите за обмен на Comodo, но наскоро реших да премина към сертификати, издадени от локален CA, разположен на домейн контролер на Windows Server 2008 R2. Защо? Ще оставим този въпрос без отговор в рамките на тази статия и ще преминем директно към процеса на подновяване на сертификата.

В моя блог има други статии, свързани със сертификати за Exchange:

  • Сертификат за Exchange 2013 - Използванесамоподписан сертификат с пример за разпространение до работните места чрез GPO;
  • Подновяване на сертификат за Exchange 2013 от Comodo - Подновяване на сертификат, получен от публичен CA на трета страна.

Можете да намерите други статии за цифрови сертификати в раздела Цифрови сертификати.

Можете да намерите повече информация за конфигуриране и администриране на Exchange 2013 в моя блог в основната тематична статия - Exchange 2013 - Инсталиране, конфигуриране, администриране.

Настройка на околната среда

Както в статията на Алексей, трябваше малко да коригирам своя сертифициращ орган и всичко започна с инсталирането на компонента „Регистрационна услуга в сертифициращия орган през Интернет“. Ако някой не си спомня как да добави необходимите компоненти на конкретна роля в Windows Server 2008 R2, тогава това се прави по следния начин:

локален

2013

За да може сертификатът да поддържа алтернативни имена на хостове, наистина трябва отделно да активираме поддръжката за SAN4 5 в нашия CA. Алексей не забрави да спомене това в статията си6. Изпълнете следната команда в командния ред с администраторски права:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc net start certsvc

След това чакаме процеса на генериране на заявка за сертификат в местен сертифициращ орган.

Заявка за сертификат за Exchange 2013

Exchange

Задайте приятелско име на заявката:

заявка

Не е необходим групов сертификат, пропуснете:

заявка

Ние запазваме заявката на всеки сървър. Ако имате един сървър, тогава изборът е очевиден.

локален

След това идва доста важен момент и би било по-добре да направите всичко както трябва от първия път. Ако не се получи от първия път, всичко е наред, просто преминете през цялотопътеката отново, за едно нещо ще си напълниш ръката. Като цяло Exchange е достатъчно умен и почти винаги правилно излага всички имена, от които се нуждае. Ако обаче имате няколко сървъра, тогава техните вътрешни имена ще трябва да бъдат въведени ръчно, което направих.

локален

Проверка на обобщената информация:

Exchange

Ако сте стигнали дотук, значи суматохата с искането е почти приключила. На този етап въвеждаме данните на организацията. Можете да въведете всичко, но е по-добре там да има смислена информация, ако правите сертификат за вашия работодател.

локален

Издаване на удостоверение

Като начало, нека запазим сертификата на основния център, за да можем по-късно да го разпространяваме чрез групови политики (малко изпреварвам):

локален

2013

Отново отиваме на началната страница на сертифициращия орган сега, за да получим сертификат за Exchange 2013. Отиваме в реда, както на екранните снимки:

локален

локален

2013

сертификат

Тук започва забавлението. Трябва да изберете шаблона за сертификат „Уеб сървър“, но го нямах в падащия списък! Причината беше в правата: сесията на браузъра беше отворена от потребител без права на администратор на домейн или администратор на организация. По някаква причина не отидох по лесния начин (отворете браузър под администратора на домейна), дори нямах такава идея и реших да дам правото на правилния потребител. За да направите това, на сървъра за сертифициране отидете на модула „Certificate Templates“ и потърсете шаблона „Web Server“. След това в свойствата даваме необходимите права на вашия акаунт:

локален

Сега имате всички шансове да получите желания сертификат, като изберете шаблона, за който току-що сте конфигурирали правата:

2013

Имахме заявка за сертификат в центъра за администриране на Exchange и имамеготов сертификат. Изпълняваме заявката и присвояваме необходимите услуги на сертификата (иконата на молив в EAC7, след това "Услуги", трябва да бъдат избрани поне "SMTP" и "IIS", когато запазвате промените, ще бъдете подканени да презапишете използвания сертификат с нов, съгласни сме)