Нека се върнем към нашите овце, или по-скоро към сертификатите. Като цяло, проблемът се свежда до четири стъпки:
- Образуване на искане за издаване на удостоверение за вътрешния CA.
- Просто все sertifikta;
- се импортира на организацията за обмен;
- Включване и сертификат среща за обмен на услуги, като например POP, IMAP и т.н.
Най-правилното ще получи вида на сертификат Тема Алтернативни имена (SAN), което позволява, наред с други неща, да използва този сертификат като DNS и NetBIOS имена пощенски сървър. На първо място това е удобен за самите потребители, тъй като имам, например, потребителите в организацията могат да се логнат в OWA като FQDN и в сървъра за NetBIOS-Име, и вътрешно и външно FQDN различават.
Не всички сертифициращи органи позволяват използването на такива сертификати, въпреки че настройката Калифорния за това е много проста - сървър на командния ред, който се издава от Калифорния, изпълнете командата:
certutil -setreg политика \ EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
Нетната спирка certsvc
Нетната старт certsvc
IIS нулиране / noforce
След това, CA приемат заявки и да издават сертификати San.
На сървъра, управление на Shell на Exchange, стартирайте:
Нова Exchangecertificate -domainname mail.domain.corp, domain.corp, domain.com, autodiscover.domain.com, mailserver1.domain.corp, mailserver1 -Friendlyname «Фирма Mail» -generaterequest: $ вярно -keysize 1024 -path в: \ mailservercertrequest.req -privatekeyexportable: $ вярно -subjectname «с = RU, O = Company Corp, CN = mail.domain.com»
Както можете да видите, съм включил в искането за всички възможни имена на пощенски сървъри, които се използват, като се използва 1024-битов ключ, който позволи на своя износ и имат допълнителен параметър -subjectname. което е от ключово значение за искане SAM сертификат. Стойностите показват, тези, които сте използвали при създаването на улица СО, в краен случай, те могат да се видят в сертификата за улица.
Отворите уеб-интерфейса на нашата CA, «Искане за сертификат» >> «Разширено искане сертификат» >> «Подайте молба за искане сертификат или подновяване» В прозореца, поставете съдържанието на вашата заявка файл, който сте създали в предишната стъпка, изберете шаблон «уеб сървър» и натиснете «Подайте». Съхранява получи сертификат на диск.
За да импортирате сертификата на сървъра Exchange
Толкова е просто - в EMS набиране:
Внос-ExchangeCertificate -path <путь к файлу сертификата>
Веднага копирате parametrathumbprint на стойност. издаден на командния сървър, тя ще дойде по-удобно на следващата стъпка.
удостоверение включване и назначаване
Активиране-exchangecertificate -Услуги IMAP, POP, UM, IIS, SMTP -thumbprint A68435BEF8131350KLJH03BA6FF4372D05ACE71L4
Услугите ще бъдат определени от тези, които ще бъдат обслужвани от този сертификат, както можете да (и трябва!) За да създадете множество сертификати с различни параметри, като например време за оттегляне на имена на домейни и т.н. Параметър уточни пръстов отпечатък, който записва в предишната стъпка.
Сподели този линк:
Свързани статии