Сертификация Exchange 2010

Первым делом нам нужно установить Центр Сертификации.
Для этого на сервере открываем Диспетчер сервера, нажимаем Добавить роль, выбираем Службы сертификации Active Directory, выбираем компоненты Центр сертификации и Служба регистрации в центре сертификации через Интернет (для получения сертификатов через веб-браузер).

CA1
Выбираем тип Центра сертификации:
CA2
Так как у нас это единственный центр сертификации выбираем параметр «Корневой ЦС»:
CA3
Создаем закрытый ключ:
CA4
Настройка провайдера алгоритма шифрования:
CA5
Зададим имя Центра сертификации:
CA6
Укажем срок действия сертификата для данного ЦС:
CA7
Дело в том, что сертификаты по умолчанию могут быть привязаны только к одному имени субъекта. Для включения в сертификат нескольких альтернативных имен субъектов необходимо в центре сертификации активировать функцию Subject Alternative Name. Для этого выполним команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
Перезапустим службу:
net stop certsvc
net start certsvc

Дальше нужно создать запрос сертификата для сервера Exchange.
Заходим в консоль управления Exchange, раздел Настройка серверов, жмем в правой колонке Создание сертификата Exchange…
cert1
Введем понятное имя сертификата и на странице Конфигурация сервера Exchange внимательно заполним FQDN имена узлов для необходимых нам сервисов.
cert2
Заполняем страницу Организация и местоположение
Нажимаем кнопку Обзор…, задаем имя файла и сохраняем его. Завершаем создание запроса сертификата
cert3

Затем нужно открыть фал с сохраненным запросом (*.req) например Блокнотом, скопировать его содержание. Далее открываем браузер и вводим адрес http://dc2/certsrv (или https://dc2/certsrv), где dc2 — имя сервера, на котором установлен центр сертификации. Если находимся на сервера где установлен центр сертификации, то можно зайти через http://localhost/certsvr (https://localhost/certsvr). Нажимаем Запрос сертификата, Расширенный запрос сертификата, далее Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7. Вставляем содержимое запроса в поле Сохраненный запрос, выбираем шаблон сертификата Веб-сервер и нажимаем кнопку Выдать.
cert4
Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске.
Возвращаемся в Консоль управления Exchange
В правой нижней области правый клик по созданному нами сертификату – Выполнить ожидающий запрос… Жмем Обзор… и выбираем сертификат, загруженный из центра сертификации.
Снова делаем правый клик по сертификату и выбираем Назначение служб для сертификатов…, выбраем службы.
cert6
Обновляем групповые политики:
gpupdate /force

Для клиентов вне домена нужно импортировать сертификат. Для этого заходим в центр сертификации, и жмем Загрузка сертификата ЦС, цепочки сертификатов или CRL. Сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, выбираем Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

(Required)

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Яндекс.Метрика Рейтинг@Mail.ru