Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-03-19
Для настройки сертификатов SSL (Secure Sockets Layer) на использование нескольких имен узлов можно использовать командную консоль.
При развертывании серверов клиентского доступа Microsoft Exchange Server 2010 необходимо убедиться, что все клиенты, такие как Microsoft Office Outlook Web App и Office Outlook 2007, смогут подключаться к службам, используя зашифрованный сеанс без получения сообщения об ошибке, связанной с тем, что сертификат не является доверенным.
С помощью командной консоли можно создать запрос на сертификат на включение всех имен узлов DNS для серверов клиентского доступа. Затем пользователям разрешается подключение к сертификату для таких служб, как Outlook Anywhere, Autodiscover, POP3 и IMAP4 или единая система обмена сообщениями, которые перечислены в атрибуте альтернативных имен. Например, пользователи могут подключиться к службам Exchange, указав имя, как показано в следующих примерах:
- https://сервер_клиентского доступа_01/owa
- https://сервер_клиентского
доступа_01.имя_FQDN.имя/owa
-
https://Имя_интрасети_сервера_клиентского_доступа/owa
- https://autodiscover.домен_электронной_почты.com
Вместо того, чтобы требовать несколько сертификатов и поддерживать конфигурацию нескольких IP-адресов и веб-сайтов служб IIS для каждого сочетания IP-порта и сертификата, можно создать единый сертификат, который дает возможность клиентам успешно подключаться к каждому имени узла с помощью SSL или Transport Layer Security (TLS).
Единый сертификат можно создать, добавив все возможные значения имен DNS к свойству сертификата Subject Alternative Name в запросе на сертификат. Центр сертификации служб сертификатов Windows должен создать сертификат для такого запроса.
 Примечание. |
|---|
| Сторонние центры сертификации или интернет-центры сертификации выпустят сертификаты только для тех DNS-имен, для которых имеется авторизация. Таким образом, DNS-имена интрасети, скорее всего, не будут разрешены. |
Настройка SSL-сертификатов для использования нескольких имен узлов серверов «Клиентский доступ»
- С помощью командлета New-ExchangeCertificate создайте
файл запроса сертификата.
- Отправьте этот файл в центр сертификации служб сертификатов
Windows и воспользуйтесь шаблоном веб-сервера на странице Центр
сертификации. Это приведет к .cer-файлу, который можно
импортировать на сервер «Клиентский доступ».
- С помощью командлета Get-ExchangeCertificate определите
отпечаток для вашего сертификата.
- После импорта сертификата его можно назначить для служб IIS,
IMAP4 и POP3 с помощью командлета
Enable-ExchangeCertificate.
Необходимы сведения о других задачах управления, связанных с использованием протокола SSL? См. раздел Управление протоколом SSL на сервере клиентского доступа.
Предварительные условия
- Выполнен вход в систему компьютера с помощью учетной записи,
которая не входит в группу администраторов, а затем с
использованием прав администратора запущен диспетчер служб IIS с
помощью команды runas. Это является наилучшим способом
обеспечения безопасности. Для этого в командной строке введите
runas /user:Имя_учетной_записи_администратора"mmc
systemroot\system32\inetsrv\iis.msc".
- Прочитан раздел Функции TLS и связанные
термины в Exchange 2010. Здесь приведена информация о многих
переменных, которые необходимо учитывать при настройке сертификатов
для служб SSL или TLS, и описано, как эти переменные могут влиять
на всю конфигурацию.
