Tanúsítvány létrehozása a 2018-as csereprogramhoz - vállalati blogkultúra-információs technológia
Térjünk vissza juhainkhoz, vagy inkább a bizonyítványokhoz. Általában a feladat négy szakaszra csökken:
- A belső CA-ra vonatkozó tanúsítvány kiadására vonatkozó kérelem megfogalmazása;
- Közvetlen bizonyítvány beszerzése;
- Importálja az Exchange szervezetbe;
- Tanúsítvány engedélyezése és hozzárendelése Exchange-szolgáltatásokhoz, például POP, IMAP stb.
A legtöbb helyes megkapja a tanúsítvány típusától egyéb nevei (SAN), amely lehetővé teszi, többek között, a tanúsítvány használatához a DNS, és mail szerver NetBIOS neveket. Az első helyen célszerű a maguk a felhasználók, mint én, például, a felhasználók a szervezet bejelentkezett az OWA az FQDN, és a NetBIOS-név szerver, valamint külső és belső FQDN különböznek.
Nem minden CA engedélyezi az ilyen tanúsítványok használatát, bár a CA konfigurálása ehhez nagyon egyszerű - a kiszolgáló parancsnoka, amelyik a kibocsátó tanúsító hatóság, futtassa a parancsokat:
certutil -setreg policy \ EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
iis reset / noforce
Ezután a CA képes fogadni és kiadni a SAN-tanúsítványokat.
Az Exchange Management Shell kiszolgálón futtassa:
Új-Exchangecertificate -domainname mail.domain.corp, domain.corp, domain.com, autodiscover.domain.com, mailserver1.domain.corp, mailserver1 -Friendlyname «Company Mail» -generaterequest: $ true -keysize 1024 -path c: \ mailservercertrequest.req -privatekeyexportable: $ true -subjectname «c = RU, O = Company Corp, CN = mail.domain.com»
Amint láthatjuk, a lekérdezésben használt levelezőszervek összes elképzelhető nevét, 1024 bites kulcsot használtam, lehetővé tettem az exportálást, és megadtam egy kiegészítő paramétert - a tárgynév. amely a SAM tanúsítványkérés kulcsfontosságú eleme. Az értéket a CA beállításakor használt értékek jelzik, vagy szélsőséges esetben a gyökér-tanúsítványban láthatja azokat.
Nyissa meg a webes felületen a mi CA, «kér igazolást» >> «Advanced tanúsítványkérés» >> «igazolás benyújtása kérés vagy megújítási kérelmet» Az ablakban helyezze az Ön keresett fájlra, amit létrehozott az előző lépésben válassza ki a sablon «WEB-szerver» és kattintson a "Küldés" gombra. Mentse a kapott tanúsítványt a lemezre.
Tanúsítvány importálása Exchange-kiszolgálóra
Ez egyszerű - az EMS tárcsázásnál:
Import-ExchangeCertificate -Path <путь к файлу сертификата>
Azonnali másolja a paraméter thumbprint értékét. amit a szerver a parancsnak ad ki, a következő lépésben hasznos lesz.
Tanúsítvány engedélyezése és hozzárendelése
Engedélyezze-exchangecertificate -services IMAP, POP, UM, IIS, SMTP -thumbprint A68435BEF8131350KLJH03BA6FF4372D05ACE71L4
A szolgáltatások megadják azokat, amelyeket ez a tanúsítvány szolgáltat, mivel lehetséges (és szükséges!) Több tanúsítvány létrehozása különböző paraméterekkel, például a visszahívási idő, a domainnevek stb. A thumbprint paraméter megadja az előző lépésben rögzített értéket.