Командлет New-ExchangeCertificate используется для создания самозаверяющего сертификата или запроса на сертификат для служб TLS и SSL.
Важно! |
---|
При настройке сертификатов для служб SSL и TLS необходимо учитывать множество факторов. Необходимо понимать, как именно эти факторы отразятся на конфигурации в целом. Прежде чем продолжить работу, изучите раздел Использование сертификатов в Exchange Server 2007. |
Синтаксис
New-ExchangeCertificate [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]] |
New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]] |
Параметры
Параметр | Обязательный | Тип | Описание | ||||
---|---|---|---|---|---|---|---|
BinaryEncoded |
Необязательный |
System.Management.Automation.SwitchParameter |
Этот параметр-переключатель позволяет задать способ кодировки экспортируемого файла. По умолчанию этот командлет создает файл в кодировке Base64. Чтобы создать файл в DER-кодировке, задайте для этого параметра
значение |
||||
Confirm |
Необязательный |
System.Management.Automation.SwitchParameter |
Параметр Confirm используется для приостановки команды и требует подтверждения ее выполнения. Значение параметра Confirm указывать не требуется. |
||||
DomainController |
Необязательный |
System.String |
Чтобы указать полное доменное имя контроллера домена, получающего данные из службы каталогов Active Directory, включите в команду параметр DomainController. Параметр DomainController не поддерживается на компьютерах с ролью пограничного транспортного сервера. Роль пограничного транспортного сервера выполняет запись только в локальный экземпляр ADAM (Active Directory Application Mode). |
||||
DomainName |
Необязательный |
Microsoft.Exchange.Data.MultiValuedProperty |
Этот параметр используется для добавления одного или нескольких доменных имен (полных доменных имен) или имен сервера в итоговый запрос на сертификат. Для доменных имен могут использоваться только знаки «a-z», «0-9», а также дефис («-»). Длина доменного имени не должна превышать 255 знаков. Для ввода нескольких доменных имен или имен серверов необходимо использовать запятую в качестве разделителя. |
||||
Force |
Необязательный |
System.Management.Automation.SwitchParameter |
Этот переключатель используется для перезаписи существующего файла запроса на сертификат, имеющего тот же путь к файлу, который указан в командлете. По умолчанию этот командлет не выполняет перезапись существующих файлов. |
||||
FriendlyName |
Необязательный |
System.String |
Этот параметр используется для задания понятного имени создаваемого сертификата. Понятное имя должно содержать менее 64 знаков По умолчанию используется имя «Microsoft Exchange». |
||||
GenerateRequest |
Необязательный |
System.Management.Automation.SwitchParameter |
Этот параметр используется для задания типа создаваемого объекта сертификата. По умолчанию этот параметр создает самозаверяющий сертификат в хранилище сертификатов на локальном компьютере. Чтобы создать запрос на сертификат PKI (PKCS #10) в локальном
хранилище запросов, задайте для этого параметра значение
|
||||
IncludeAcceptedDomains |
Необязательный |
System.Management.Automation.SwitchParameter |
Этот параметр используется для включения в поле имен домена всех заданных обслуживаемых доменов. Также можно задать параметр DomainName в запросе. Созданный сертификат или запрос будет содержать оба значения. |
||||
IncludeAutoDiscover |
Необязательный |
System.Management.Automation.SwitchParameter |
Этот параметр используется для добавления префикса «autodiscover» к каждому доменному имени, создаваемому для итогового сертификата. Этот параметр можно указывать только при выполнении командлета на сервере Exchange с установленной ролью сервера клиентского доступа. Примечание. Этот параметр не добавляет префикс «autodiscover», если доменное имя уже содержит такой префикс. |
||||
Instance |
Необязательный |
System.Security.Cryptography.X509Certificates.X509Certificate2 |
Этот параметр используется для того, чтобы передать весь объект в команду для обработки. Параметр Instance в основном используется в сценариях, в которых команде необходимо передать весь объект. |
||||
KeySize |
Необязательный |
System.Int32 |
Этот параметр используется для задания размера (в битах) открытого ключа RSA, связанного с создаваемым сертификатом. Допустимыми являются значения |
||||
Path |
Необязательный |
System.String |
Этот параметр используется для задания пути создаваемого файла запроса PKCS #10. Этот параметр допустим только в том случае, если для параметра
GenerateRequest установлено значение Командлет New-ExchangeCertificate генерирует запрос на сертификат в локальном хранилище сертификатов, даже если задан параметр Path. Запрос сертификата, который создается в локальном хранилище сертификатов, содержит ключи для результирующего сертификата. При использовании данного параметра необходимо указать имя файла запроса. Имя должно оканчиваться расширением REQ, например:
REQ-файл используется центром сертификации для создания сертификата. |
||||
PrivateKeyExportable |
Необязательный |
System.Boolean |
Этот параметр позволяет указать, будет ли создаваемый сертификат иметь экспортируемый закрытый ключ. По умолчанию все запросы на сертификаты и сертификаты, созданные с помощью этого командлета, не допускают экспорта закрытого ключа. Следует иметь в виду, что, если отсутствует возможность экспорта закрытого ключа, сам сертификат нельзя экспортировать или импортировать. Задайте для этого параметра значение |
||||
Services |
Необязательный |
Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices |
Этот параметр позволяет указать службы, которые будут
использовать создаваемый сертификат. Службы не могут быть указаны,
если для параметра GenerateRequest было задано значение
Допустимые значения представляют собой сочетания следующих элементов:
Чтобы задать самозаверяющий сертификат для нескольких служб, укажите каждое значение в кавычках, используя в качестве разделителя запятые, например:
Чтобы создать отключенный сертификат, который можно будет
экспортировать на другой компьютер, задайте для этого параметра
значение Значение по умолчанию: |
||||
SubjectName |
Необязательный |
System.Security.Cryptography.X509Certificates.X500DistinguishedName |
Этот параметр используется для задания имени субъекта создаваемого сертификата. «Имя субъекта» сертификата — это поле, используемое службами, взаимодействующими с DNS. Поле «Имя субъекта» привязывает сертификат к определенному имени сервера или домена. Имя субъекта представляет собой различающееся имя в формате X.500, состоящее из одного или нескольких относительных различающихся имен (также называемых RDN). По умолчанию в качестве общего имени (CN) готового сертификата используется имя узла, на котором выполняется этот командлет. Например, если командлет выполняется на сервере EXMBX01, будет использоваться имя субъекта CN=EXMBX01. |
||||
WhatIf |
Необязательный |
System.Management.Automation.SwitchParameter |
Параметр WhatIf заставляет команду имитировать действия, которые она будет выполнять над объектом. С помощью параметра WhatIf можно просматривать изменения, которые могли бы произойти, без применения этих изменений. Указывать значение параметра WhatIf не требуется. |
Подробное описание
Командлет New-ExchangeCertificate использует
множество параметров с типом SwitchParameter
.
Дополнительные сведения об использовании данного типа см. в главе
«Параметры-переключатели» раздела Параметры.
Для выполнения командлета New-ExchangeCertificate используемой учетной записи необходимо делегировать:
- роль администратора сервера Exchange и членство в локальной
группе администраторов на целевом сервере.
Чтобы запустить командлет New-ExchangeCertificate на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, входящей в локальную группу администраторов на этом компьютере.
Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Microsoft Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.
Типы входных данных
Типы возвращаемых данных
Ошибки
Ошибка | Описание |
---|---|
|
Исключения
Исключения | Описание |
---|---|
|
Пример
В первом примере показано выполнение командлета без аргументов. При запуске командлета New-ExchangeCertificate без аргументов создается самозаверяющий сертификат для SMTP SSL/TLS. В качестве имени субъекта сертификата указано полное имя домена локального компьютера. Этот внутренний сертификат транспорта можно использовать без дополнительной настройки для проверки подлинности на основе прямого доверия и шифрования между пограничными транспортными серверами и транспортными серверами-концентраторами. Локальной группе безопасности «Сетевые службы» также предоставляется доступ для чтения к закрытому ключу, связанному с сертификатом. Кроме того, сертификат публикуется в Active Directory, что позволяет использовать прямые отношения доверия Exchange Server для проверки подлинности сервера в рамках взаимной проверки подлинности TLS.
Во втором примере показано выполнение командлета для создания запроса на сертификат и копирования его в папку на локальном компьютере. Создаваемый сертификат имеет следующие связанные атрибуты:
- Имя субъекта: c=<ES>,o=<Diversion de
Bicicleta>,cn=mail1. DiversiondeBicicleta.com
- Альтернативные имена субъекта: woodgrove.com и example.com
- Экспортируемый закрытый ключ
Дополнительные примеры см. в разделе Создание сертификата или запроса сертификата для TLS в указанных ниже записях блога команды разработчиков Exchange Server.
- Выводы: Опыт создания сертификата с помощью
стороннего центра сертификации
- Автообнаружение Exchange 2007 и сертификаты
- Дополнительные сведения об Exchange 2007 и
сертификатах — реальное применение
Примечание. Содержимое и URL-адрес каждого блога могут изменяться без предварительного уведомления. Содержимое каждого блога предоставляется на условиях "как есть" без каких-либо гарантий, при этом никакие права не передаются. На использование предоставляемых примеров сценариев и кода распространяются Условия использования.
Дополнительные сведения см. в техническом документе Безопасность домена (на английском языке).
Копировать код | |
---|---|
New-ExchangeCertificate New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversion de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true |