В этом разделе объясняется, как с помощью командной консоли Exchange настроить несколько имен узлов для SSL-сертификатов.
При развертывании компьютеров, на которых выполняется Microsoft Exchange Server 2007 с установленной ролью сервера «Клиентский доступ», необходимо убедиться, что все клиенты, такие как Outlook Web Access и Outlook 2007, смогут подключиться к службам с помощью шифрованного сеанса, не получая сообщения об ошибке, утверждающего, что сертификат не является доверенным.
Примечание. |
---|
Чтобы Internet Security and Acceleration (ISA) Server мог обрабатывать SSL-соединения с Exchange 2007, необходимо включить имя субъекта сертификата в качестве первой записи SAN при запросе сертификата, который будет использоваться на нескольких серверах или с несколькими именами узлов. |
С помощью среды управления Exchange можно создать запрос сертификата на включение всех имен узлов DNS серверов «Клиентский доступ». Затем пользователям разрешается подключение к сертификату для таких служб, как Outlook Anywhere, Autodiscover, POP3 и IMAP4, или единая система обмена сообщениями, которые перечислены в атрибуте альтернативных имен. Например, пользователи могут подключиться к службам Exchange, указав имя, как показано в следующих примерах:
- https://CAS01/owa
- https://CAS01.FQDN.name/owa
- https://CASIntranetName/owa
- https://autodiscover.emaildomain.com
Вместо того, чтобы требовать несколько сертификатов и поддерживать конфигурацию нескольких IP-адресов и веб-узлов служб IIS для каждого сочетания IP-порта и сертификата, можно создать единый сертификат, который дает возможность клиентам успешно подключаться к каждому имени узла с помощью SSL или Transport Layer Security (TLS).
Единый сертификат можно создать, добавив все возможные значения имен DNS к свойству сертификата Subject Alternative Name на запрос сертификата. Центр сертификации служб сертификатов Microsoft Windows должен создавать сертификат для каждого такого запроса.
Примечание. |
---|
Сторонние центры сертификации и Интернет центры сертификации выпустят сертификаты только для DNS-имен, для которых вы авторизованны. Поэтому, DNS-имена корпоративной сети, вероятно, не будут разрешены. |
Настройка SSL-сертификатов для использования нескольких имен узлов серверов «Клиентский доступ»
- С помощью командлета New-ExchangeCertificate создайте
файл запроса сертификата.
- Отправьте этот файл в центр сертификации служб сертификации
Windows и воспользуйтесь шаблоном веб-сервер на странице
Центр сертификации. Это приведет к .cer-файлу, который можно
импортировать на сервер «Клиентский доступ».
- С помощью командлета Get-ExchangeCertificate определите
отпечаток@@@ для вашего сертификата.
- После импорта сертификата его можно назначить для IIS, IMAP4 и
POP3 с помощью командлета Enable-ExchangeCertificate.
Прежде чем приступить к работе
Для выполнения указанных ниже процедур используемой учетной записи необходимо делегировать роль администратора Exchange с правами на просмотр.
Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, см. в разделе Вопросы, связанные с разрешениями.
Важно! |
---|
Прежде чем выполнить эти процедуры, следует прочитать раздел Управление безопасностью клиентского доступа. |
Важно! |
---|
Для обеспечения безопасности рекомендуется войти в систему компьютера с помощью учетной записи, которая не входит в группу администраторов, а затем использовать команду runas для запуска диспетчера службы IIS в качестве администратора. В командной строке введите runas /user:Имя_учетной_записи_администратора"mmc systemroot\system32\inetsrv\iis.msc". |
Важно! |
---|
При настройке сертификатв для служб SSL и TLS необходимо рассмотреть много переменных. Кроме того, необходимо убедиться, что вы понимаете, как эти переменные могут повлиять на всю конфигурацию. Прежде чем продолжить, ознакомьтесь с разделом Создание сертификата или запроса сертификата для TLS. |
Процедура
Использование среды управления Exchange для создания файла запроса сертификата
-
Выполните следующую команду:
Копировать код New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt
Эта команда создает текстовый файл, содержащий запрос сертификата в формате PKCS#10.
Использование среды управления Exchange дял импортирования сертификата
-
Выполните следующую команду:
Копировать код Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
Использование среды управления Exchange дял определения отпечатка@@@ вашего сертификата
-
Чтобы определить отпечаток@@@, выполните следующую команду:
Копировать код Get-ExchangeCertificate -DomainName "CAS01"
Примечание. |
---|
Эта команда возвращает несколько сертификатов, если существует несколько сертификатов, соответствующих указанному имени узла. Таким образом, необходимо убедиться, выбран отпечаток@@@ верного сертификата для вашего запроса. |
Использование среды управления Exchange для назначения сертификата IIS, POP3 и IMAP4
-
Чтобы назначить сертификат службам IIS, POP3 и IMAP4, выполните следующую команду:
Копировать код Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
-
Или, чтобы назначить сертификат серверу, который в свою очередб назначает сертификат всем службам, выполняемым на сервере Exchange, выполните следующую команду:
Копировать код Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"
Дополнительные сведения о синтаксисе и параметрах командлетов Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate и New-ExchangeCertificate см. в разделе Глобальные командлеты.
Дополнительные сведения
Дополнительные сведения о создании сертификатов или запросов сертификатов для TLS и SSL см. в разделе Создание сертификата или запроса сертификата для TLS.