Exchange-tanúsítványok kezelése (3. rész)
Exchange-parancsok a tanúsítványok kezeléséhez
Az Exchange Management Shell olyan parancsokat tartalmaz, amelyeket az Exchange környezetben lévő tanúsítványok kezelésére használhat:
A sorozat második részében egy példaértékű Exchange szervezetet írtam le, amelyhez két Exchange-tanúsítványt kell beszerezni, amint az az 1. táblázatban látható.
1. táblázat: Tanúsítvány követelmények
Közönséges név
Alternatív nevek
Szükséges a szolgáltatásokhoz (szolgáltatáshoz szükséges)
Outlook Web Access Outlook bárhol az automatikus felfedezés EWS (Out of Office, szabad és foglalt)
EdgeSync Opportunistic TLS Domain Biztonság
Új-ExchangeCertificate
Az Exchange Management Shell Új-ExchangeCertificate parancsot lehet használni, hogy hozzon létre egy új önmaga által aláírt tanúsítványt, vagy új igazolást kérést, amely küldhet a hitelesítésszolgáltató (Certification Authority), majd az importált és engedélyezve van az SMTP (Transport Layer Security (TLS)), és / vagy IIS, POP, IMAP, és az UM (az úgynevezett Secure Sockets Layer szolgáltatás (SSL)).
Az a kulcsparaméter, amely az Új-ExchangeCertificate parancs új önaláírt tanúsítványt hoz létre vagy kérést generál, a GenerateRequest. Ha kihagyja ezt a paramétert, egy új saját aláírású tanúsítványt az Exchange jön létre, amint azt az 1. ábra Ha ezt a lehetőséget választja, akkor az Exchange létrehozhat egy tanúsítványt kérés egy PKI tanúsítvány (PKCS # 10) a helyi kérés boltban.
1. ábra: Új önaláírt tanúsítvány létrehozása
Tanúsítványkérelem létrehozásakor a következő paraméterlistakat adhatja hozzá:
SubjectName - a tanúsítvány legfontosabb tulajdonságait tartalmazó megkülönböztető név (megkülönböztető név) X.500 formáján a közös név. A téma neve a DNS-szolgáltatások által használt mező, és valójában azonosítja a DNS-támogatással ellátott szolgáltatásokat, hogy a tanúsítvány érvényesíthető egy adott kiszolgáló vagy tartománynév esetén;
DomainName - a tanúsítványhoz további további alternatív nevek hozzáadása. Több domainnevet is hozzáadhat vesszővel elválasztva, de az egyes tartománynevek hossza nem haladhatja meg a 255 karaktert;
IncludeAcceptedDomains - add összes felvett tartományok vannak beállítva az Exchange-szervezetben, az alany alternatív neveket (amikor nevek meghatározása a tartománynév paramétert és IncludeAcceptedDomains gombot, akkor csak egyszer jelenik meg a tanúsítvány kérésre)
IncludeAutoDiscover - minden domain nevet hozzáad a névnév alternatív neve automatikus felfedezéséhez.domainname. Két megjegyzés van: - ha a neveket a DomainName paraméterrel definiálják, és az IncludeAutodiscover billentyűt használják, akkor csak egyszer fognak megjelenni a tanúsítványkérésben - csak ezt a paramétert hozzáadhatja, ha az Exchange Client Access kiszolgálón futtatja a parancsot
Keysize - a tanúsítványhoz tartozó nyilvános kulcs különböző RSA-méretének meghatározása a létrehozás idején. Ha elhagyja ezt a paramétert, a 2048 bit alapértelmezett értéke kerül felhasználásra, de ez az érték 1024, 2048 vagy 4096 bitre változhat;
Útvonal - jelzi azt a helyet, ahol a tanúsítványkérelem tárolásra kerül. Meg kell adnia az elérési utat és a fájlnevet (a fájl típusa .req);
PrivateKeyExportable - felhasználható tanúsítvány (és / vagy kérés) generálására az exportált privát kulcs segítségével. Ha nem használja, akkor a privát kulcsot nem exportálják. A paraméter hozzáadásával és az érték True értékre állításával exportálhatja a tanúsítványt, és importálhatja azt más Exchange kiszolgálókra és / vagy ISA modulokra;
BinaryEncoded - használhatja az alapértelmezés megváltoztatását a titkosított exportált fájl Base64 segítségével a DER titkosított fájlra;
Szolgáltatások - új önaláírt tanúsítvány létrehozására használható annak meghatározásához, hogy mely szolgáltatások (IIS, SMTP, POP, IMAP, UM) fogják használni az új tanúsítványt. A paraméter alapértelmezett értéke az SMTP (az 1. ábrán látható), amely jelzi a Nincs értéket, lehetővé teszi, hogy új önaláírt tanúsítványt hozzon létre, anélkül, hogy bármilyen szolgáltatásra kiterjedne;
FriendlyName - a tanúsítvány másik nevének megadása, nem pedig az alapértelmezésben használt "Microsoft Exchange" név. 64 karakterre korlátozódik.
2. ábra: Új ExchangeCertificate
Ez a két tanúsítványkérelem mostantól a kiválasztott tanúsító hatósághoz érkezhet, és a tanúsítványok átvétele után importálható és engedélyezett a szükséges szolgáltatásokhoz.
Az EdgeSync engedélyezéséhez olvassa el az alábbi TechNet cikket
Amikor a EdgeSync kell figyelembe venni információkat a következő TechNet cikket „EdgeSync megszakad, és az eseményt ID 10104”, amely egyértelműen kimondja, hogy a Hub szerverek és Edge-Transport nem támogatja a használatát ugyanazon igazolás!
Import-ExchangeCertificate
Az Import-ExchangeCertificate parancs segítségével importálhat egy tanúsítványt, amely hasznos lehet:
importálnia kell egy korábban exportált tanúsítványt
a tanúsító hatóság által létrehozott tanúsítványfájlt szeretné importálni
Az Import-ExchangeCertificate parancs futtatásakor két paraméterre van szükség:
Jelszó - a magánkulcs titkosításához használt jelszó megadása a tanúsítvány exportálása közben
Útvonal - annak a helynek a meghatározása, ahol a CA-tól kapott tanúsítványt tárolta
A tanúsítvány importálásakor engedélyezni kell a szolgáltatást az Enable-ExchangeCertificate parancs futtatásával.
Engedélyezze-ExchangeCertificate
Az Enable-ExchangeCertificate parancs futtatása után engedélyezi a tanúsítványt egy vagy több szolgáltatáshoz a tanúsítványban tárolt metaadatok frissítésével.
Minden szolgáltatásnak saját metaadat-követelményei vannak, ezért különböző tulajdonságokkal frissülnek:
IIS. Az alapértelmezett webhely frissítésre kerül;
SMTP. számla Network Service élveznek számára olvasási (Read hozzáférés) a megfelelő privát kulcs fájl a könyvtárban Documents and Settings # 92; All Users # 92; Application Data # 92; Microsoft # 92; Crypto # 92; RSA # 92; MachineKeys;
UM. a tanúsítvány tulajdonságai frissülnek az Unified Messaging szolgáltatással együtt.
Miután megkapta a kért két tanúsítványt, a 3. ábra azt mutatja, hogy importálták őket, és ugyanaz a határidő azt mutatja, hogy azok szerepelnek a szükséges szolgáltatásokban.
3. ábra: Import-ExchangeCertificate
Get-ExchangeCertificate
A helyi tanúsítványraktárban rendelkezésre álló összes tanúsítvány listájának megtekintéséhez futtathatja a Get-ExchangeCertificate parancsot. Ezzel a paranccsal megtekintheti az Exchange-szolgáltatások által használt tanúsítványmezőket (4. ábra), például:
Kibocsátó. ki adta ki a bizonyítványt
Tárgy. A tanúsítvány közös neve
CertificateDomains. Subject A tanúsítványban meghatározott alternatív nevek
NotBefore. meghatározza a tanúsítvány felhasználásának dátumát és időpontját
NotAfter. meghatározza a tanúsítvány lejáratának dátumát és időpontját
RootCAType. meghatározza a tanúsítványt kiadó CA típusát
Services. amelyekhez a tanúsítvány engedélyezve van
Status. meghatározza a tanúsítvány érvényességét / érvényességét
Ujjlenyomata. tanúsítványadat-készlet
4. ábra: Get-ExchangeCertificate (SMTP)
5. ábra: Get-ExchangeCertificate (IIS, POP, IMAP)
Export-ExchangeCertificate
A tanúsítvány exportálásához (akár mentési célból, akár más kiszolgálókon történő használat esetén) használhatja az Export-ExchangeCertificate parancsot. A parancs végrehajtása alapértelmezés szerint exportálja a cserebizonyítványt és a privát kulcsot.
Ezt a parancsot is használhatja a tanúsítványkérelem exportálásához. Amikor ezt a parancsot végrehajtja, az Exchange megvizsgálja az exportált tanúsítványt (az ujjlenyomatát használva), és ha ez egy tanúsítványkérelem, PKCS # 10 fájlként exportálódik. Ha ez egy tanúsítvány, akkor a tanúsítvány PKCS # 12 fájlként fog exportálni.
Két paraméter használható az Export-ExchangeCertificate parancs végrehajtásakor:
Path. Az exportált tanúsítvány tárolására szolgáló célkönyvtár és fájlnév meghatározásához ne felejtsd el beírni a .req fájlkiterjesztést a tanúsítványkérelem exportálásához, valamint a .pfx vagy .p12 exportálásához a tanúsítvány exportálásához;
Jelszót. hogy megvédje a privát kulcsot, be kell írnia biztonságos kódként (a 6. és 7. ábrán látható módon megadhatja a jelszó megadásának különböző módjait).
6. ábra: Export-ExchangeCertificate (SMTP)
7. ábra: Export-ExchangeCertificate (IIS, POP, IMAP)
8. ábra: Import-ExchangeCertificate (UM)
Távolítsuk-ExchangeCertificate
Miután az összes szolgáltatáshoz megadtuk a szükséges tanúsítványokat, eltávolíthatjuk a szükségtelen tanúsítványokat az Exchange kiszolgálóról és a helyi tanúsítványtárolóról az Remove-ExchangeCertificate parancs futtatásával. Ha a törölni kívánt tanúsítvány az Active Directory címtárszolgáltatásban tárolódik, az objektumot is törli.
A 9. ábra bemutatja, hogyan lehet egyszerre törölni az összes aláírt tanúsítványt.
9. ábra: Eltávolítás-ExchangeCertificate (önaláírt)
A tanúsítványok konfigurálásának ellenőrzése
Miután megkapta a szükséges tanúsítványokat és felállította az Exchange szolgáltatásokat használatukra, itt az ideje, hogy tesztelje a konfigurációt a megfelelő működés érdekében.
A 10. ábra azt mutatja, hogy az Outlook Web Access és az Outlook Anywhere jól működik a szükséges tanúsítvány használatával.
10. ábra: Tanúsítvány tulajdonságai
A Sunshine.Edu szervezetben a kívánt funkció Domain Security a tervek szerint úgy van beállítva, mint a 11. és 12. ábrán látható.
11. ábra: Domain biztonság
12. ábra: Domainbiztonság