Командлет New-ExchangeCertificate используется для создания самозаверяющего сертификата или запроса на сертификат для служб TLS и SSL.

Важно!
При настройке сертификатов для служб SSL и TLS необходимо учитывать множество факторов. Необходимо понимать, как именно эти факторы отразятся на конфигурации в целом. Прежде чем продолжить работу, изучите раздел Использование сертификатов в Exchange Server 2007.

Синтаксис

New-ExchangeCertificate [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]
New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

Параметры

Параметр Обязательный Тип Описание

BinaryEncoded

Необязательный

System.Management.Automation.SwitchParameter

Этот параметр-переключатель позволяет задать способ кодировки экспортируемого файла. По умолчанию этот командлет создает файл в кодировке Base64.

Чтобы создать файл в DER-кодировке, задайте для этого параметра значение $True.

Confirm

Необязательный

System.Management.Automation.SwitchParameter

Параметр Confirm используется для приостановки команды и требует подтверждения ее выполнения. Значение параметра Confirm указывать не требуется.

DomainController

Необязательный

System.String

Чтобы указать полное доменное имя контроллера домена, получающего данные из службы каталогов Active Directory, включите в команду параметр DomainController. Параметр DomainController не поддерживается на компьютерах с ролью пограничного транспортного сервера. Роль пограничного транспортного сервера выполняет запись только в локальный экземпляр ADAM (Active Directory Application Mode).

DomainName

Необязательный

Microsoft.Exchange.Data.MultiValuedProperty

Этот параметр используется для добавления одного или нескольких доменных имен (полных доменных имен) или имен сервера в итоговый запрос на сертификат.

Для доменных имен могут использоваться только знаки «a-z», «0-9», а также дефис («-»). Длина доменного имени не должна превышать 255 знаков.

Для ввода нескольких доменных имен или имен серверов необходимо использовать запятую в качестве разделителя.

Force

Необязательный

System.Management.Automation.SwitchParameter

Этот переключатель используется для перезаписи существующего файла запроса на сертификат, имеющего тот же путь к файлу, который указан в командлете.

По умолчанию этот командлет не выполняет перезапись существующих файлов.

FriendlyName

Необязательный

System.String

Этот параметр используется для задания понятного имени создаваемого сертификата. Понятное имя должно содержать менее 64 знаков

По умолчанию используется имя «Microsoft Exchange».

GenerateRequest

Необязательный

System.Management.Automation.SwitchParameter

Этот параметр используется для задания типа создаваемого объекта сертификата.

По умолчанию этот параметр создает самозаверяющий сертификат в хранилище сертификатов на локальном компьютере.

Чтобы создать запрос на сертификат PKI (PKCS #10) в локальном хранилище запросов, задайте для этого параметра значение $True.

IncludeAcceptedDomains

Необязательный

System.Management.Automation.SwitchParameter

Этот параметр используется для включения в поле имен домена всех заданных обслуживаемых доменов.

Также можно задать параметр DomainName в запросе. Созданный сертификат или запрос будет содержать оба значения.

IncludeAutoDiscover

Необязательный

System.Management.Automation.SwitchParameter

Этот параметр используется для добавления префикса «autodiscover» к каждому доменному имени, создаваемому для итогового сертификата. Этот параметр можно указывать только при выполнении командлета на сервере Exchange с установленной ролью сервера клиентского доступа. Примечание. Этот параметр не добавляет префикс «autodiscover», если доменное имя уже содержит такой префикс.

Instance

Необязательный

System.Security.Cryptography.X509Certificates.X509Certificate2

Этот параметр используется для того, чтобы передать весь объект в команду для обработки. Параметр Instance в основном используется в сценариях, в которых команде необходимо передать весь объект.

KeySize

Необязательный

System.Int32

Этот параметр используется для задания размера (в битах) открытого ключа RSA, связанного с создаваемым сертификатом.

Допустимыми являются значения 4096, 2048 и 1024. Значение по умолчанию: 2048.

Path

Необязательный

System.String

Этот параметр используется для задания пути создаваемого файла запроса PKCS #10.

Этот параметр допустим только в том случае, если для параметра GenerateRequest установлено значение $true.

Командлет New-ExchangeCertificate генерирует запрос на сертификат в локальном хранилище сертификатов, даже если задан параметр Path. Запрос сертификата, который создается в локальном хранилище сертификатов, содержит ключи для результирующего сертификата.

При использовании данного параметра необходимо указать имя файла запроса. Имя должно оканчиваться расширением REQ, например:

Копировать код
-Path c:\certificates\request.req

REQ-файл используется центром сертификации для создания сертификата.

PrivateKeyExportable

Необязательный

System.Boolean

Этот параметр позволяет указать, будет ли создаваемый сертификат иметь экспортируемый закрытый ключ.

По умолчанию все запросы на сертификаты и сертификаты, созданные с помощью этого командлета, не допускают экспорта закрытого ключа.

Следует иметь в виду, что, если отсутствует возможность экспорта закрытого ключа, сам сертификат нельзя экспортировать или импортировать.

Задайте для этого параметра значение $true , чтобы включить возможность экспорта закрытого ключа из создаваемого сертификата.

Services

Необязательный

Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices

Этот параметр позволяет указать службы, которые будут использовать создаваемый сертификат. Службы не могут быть указаны, если для параметра GenerateRequest было задано значение $true.

Допустимые значения представляют собой сочетания следующих элементов:

  • IMAP

  • POP

  • UM

  • IIS

  • SMTP

  • None

Чтобы задать самозаверяющий сертификат для нескольких служб, укажите каждое значение в кавычках, используя в качестве разделителя запятые, например:

Копировать код
-Services "IMAP, POP, IIS"

Чтобы создать отключенный сертификат, который можно будет экспортировать на другой компьютер, задайте для этого параметра значение None.

Значение по умолчанию: SMTP.

SubjectName

Необязательный

System.Security.Cryptography.X509Certificates.X500DistinguishedName

Этот параметр используется для задания имени субъекта создаваемого сертификата.

«Имя субъекта» сертификата — это поле, используемое службами, взаимодействующими с DNS. Поле «Имя субъекта» привязывает сертификат к определенному имени сервера или домена.

Имя субъекта представляет собой различающееся имя в формате X.500, состоящее из одного или нескольких относительных различающихся имен (также называемых RDN).

По умолчанию в качестве общего имени (CN) готового сертификата используется имя узла, на котором выполняется этот командлет. Например, если командлет выполняется на сервере EXMBX01, будет использоваться имя субъекта CN=EXMBX01.

WhatIf

Необязательный

System.Management.Automation.SwitchParameter

Параметр WhatIf заставляет команду имитировать действия, которые она будет выполнять над объектом. С помощью параметра WhatIf можно просматривать изменения, которые могли бы произойти, без применения этих изменений. Указывать значение параметра WhatIf не требуется.

Подробное описание

Командлет New-ExchangeCertificate использует множество параметров с типом SwitchParameter. Дополнительные сведения об использовании данного типа см. в главе «Параметры-переключатели» раздела Параметры.

Для выполнения командлета New-ExchangeCertificate используемой учетной записи необходимо делегировать:

  • роль администратора сервера Exchange и членство в локальной группе администраторов на целевом сервере.

Чтобы запустить командлет New-ExchangeCertificate на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, входящей в локальную группу администраторов на этом компьютере.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Microsoft Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Типы входных данных

Типы возвращаемых данных

Ошибки

Ошибка Описание

 

Исключения

Исключения Описание

 

Пример

В первом примере показано выполнение командлета без аргументов. При запуске командлета New-ExchangeCertificate без аргументов создается самозаверяющий сертификат для SMTP SSL/TLS. В качестве имени субъекта сертификата указано полное имя домена локального компьютера. Этот внутренний сертификат транспорта можно использовать без дополнительной настройки для проверки подлинности на основе прямого доверия и шифрования между пограничными транспортными серверами и транспортными серверами-концентраторами. Локальной группе безопасности «Сетевые службы» также предоставляется доступ для чтения к закрытому ключу, связанному с сертификатом. Кроме того, сертификат публикуется в Active Directory, что позволяет использовать прямые отношения доверия Exchange Server для проверки подлинности сервера в рамках взаимной проверки подлинности TLS.

Во втором примере показано выполнение командлета для создания запроса на сертификат и копирования его в папку на локальном компьютере. Создаваемый сертификат имеет следующие связанные атрибуты:

  • Имя субъекта: c=<ES>,o=<Diversion de Bicicleta>,cn=mail1. DiversiondeBicicleta.com

  • Альтернативные имена субъекта: woodgrove.com и example.com

  • Экспортируемый закрытый ключ

Дополнительные примеры см. в разделе Создание сертификата или запроса сертификата для TLS в указанных ниже записях блога команды разработчиков Exchange Server.

Дополнительные сведения см. в техническом документе Безопасность домена (на английском языке).

Копировать код
New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversion de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true