Первым делом нам нужно установить Центр Сертификации.
Для этого на сервере открываем Диспетчер сервера, нажимаем Добавить роль, выбираем Службы сертификации Active Directory, выбираем компоненты Центр сертификации и Служба регистрации в центре сертификации через Интернет (для получения сертификатов через веб-браузер).
Выбираем тип Центра сертификации:
Так как у нас это единственный центр сертификации выбираем параметр «Корневой ЦС»:
Создаем закрытый ключ:
Настройка провайдера алгоритма шифрования:
Зададим имя Центра сертификации:
Укажем срок действия сертификата для данного ЦС:
Дело в том, что сертификаты по умолчанию могут быть привязаны только к одному имени субъекта. Для включения в сертификат нескольких альтернативных имен субъектов необходимо в центре сертификации активировать функцию Subject Alternative Name. Для этого выполним команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
Перезапустим службу:
net stop certsvc
net start certsvc
Дальше нужно создать запрос сертификата для сервера Exchange.
Заходим в консоль управления Exchange, раздел Настройка серверов, жмем в правой колонке Создание сертификата Exchange…
Введем понятное имя сертификата и на странице Конфигурация сервера Exchange внимательно заполним FQDN имена узлов для необходимых нам сервисов.
Заполняем страницу Организация и местоположение
Нажимаем кнопку Обзор…, задаем имя файла и сохраняем его. Завершаем создание запроса сертификата
Затем нужно открыть фал с сохраненным запросом (*.req) например Блокнотом, скопировать его содержание. Далее открываем браузер и вводим адрес http://dc2/certsrv (или https://dc2/certsrv), где dc2 — имя сервера, на котором установлен центр сертификации. Если находимся на сервера где установлен центр сертификации, то можно зайти через http://localhost/certsvr (https://localhost/certsvr). Нажимаем Запрос сертификата, Расширенный запрос сертификата, далее Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7. Вставляем содержимое запроса в поле Сохраненный запрос, выбираем шаблон сертификата Веб-сервер и нажимаем кнопку Выдать.
Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске.
Возвращаемся в Консоль управления Exchange
В правой нижней области правый клик по созданному нами сертификату – Выполнить ожидающий запрос… Жмем Обзор… и выбираем сертификат, загруженный из центра сертификации.
Снова делаем правый клик по сертификату и выбираем Назначение служб для сертификатов…, выбраем службы.
Обновляем групповые политики:
gpupdate /force
Для клиентов вне домена нужно импортировать сертификат. Для этого заходим в центр сертификации, и жмем Загрузка сертификата ЦС, цепочки сертификатов или CRL. Сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, выбираем Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации.
Добавить комментарий