Локальний ЦС - Запит сертифіката Exchange 2013

Запит сертифіката Exchange 2013 сам по собі не є складним, але все криється в деталях. Вже багато було сказано про сертифікати для Exchange і ще більше про сертифікати взагалі. Однак щоразу доводиться знову стикатися з питанням зміни сертифікатів знову все робиш як вперше. Звичайно ж, а як інакше, адже сертифікати простим адмінам доводиться продовжувати не частіше за пару разів на рік, а то й раз на 3 роки і ще рідше. Раз відмучавшись, ти думаєш про себе: «ну нарешті, тепер ще рік не згадуватиму про цей жах!». А от якраз після таких думок не завадить зібрати сили, що залишилися, в кулак і знову зайнятися... чим же? Звісно сертифікатами! Тільки на цей раз не продовженням, а документацією зробленого, щоб наступного разу все пройшло ще простіше.

В інтернеті ви зможете знайти безліч статей з продовження сертифікатів Exchange будь-яких версій. Напрочуд зустрічаються вкрай адекватні статті не лише на англомовних ресурсах1, а й на українськомовних2. Яскравий приклад — блог Олексія Богомолова3 (блог присвячений виключно Exchange Server). Особисто я постійно користуюся цим ресурсом і дуже його люблю та поважаю за фундаментальний підхід до питання висвітлення проблеми.

Раніше я скористався сертифікатами Exchange від Comodo, але нещодавно вирішив перейти на сертифікати, випущені локальним центром сертифікації, розгорнутим на контролері домену під керуванням Windows Server 2008 R2. Чому? Це питання в рамках цієї статті залишимо без відповіді та перейдемо одразу до процесу продовження сертифікату.

На моєму блозі є інші статті, пов'язані з сертифікатами Exchange:

  • Сертифікат Exchange 2013 – використаннясамозавіреного сертифіката з прикладом поширення робочих місць через GPO;
  • Продовження сертифіката Exchange 2013 від Comodo — продовження сертифіката, отриманого від стороннього публічного ЦС.

Решту статей з цифрових сертифікатів ви зможете знайти в рубриці Digital Certificates.

Знайти більше інформації щодо настроювання та адміністрування Exchange 2013 на моєму блозі ви зможете в основній статті тематики - Exchange 2013 - Встановлення, налаштування, адміністрування.

Налаштування оточення

Як і в статті Олексія, мені довелося трохи настроїти свій центр сертифікації і все почалося з встановлення компонента «Служба реєстрації в центрі сертифікації через Інтернет». Якщо хтось не пам'ятає як додавати необхідні компоненти певної ролі в Windows Server 2008 R2, то це робиться так:

exchange

запит

Для підтримки сертифікатом додаткових імен вузлів нам потрібно окремо включати підтримку SAN4 5 в нашому ЦС. Олексій не забув згадати і це у своїй статті6. Виконуємо у командному рядку з правами адміну команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc net start certsvc

Далі на нас чекає процес генерації запиту на отримання сертифіката в локальному центрі сертифікації.

Запит сертифіката Exchange 2013

запит

Задаємо зрозуміле ім'я запиту:

запит

Груповий сертифікат не потрібен, пропускаємо:

exchange

Зберігаємо запит на будь-якому сервері. Якщо сервер один, то і вибір очевидний.

сертифіката

Далі йде досить відповідальний момент і краще все зробити правильно з першого разу. Якщо за перший раз не вийде, нічого страшного, просто пройдете весьшлях знову, за одне та руку наб'єте. Взагалі Exchange досить розумний і практично сам правильно виставляє всі необхідні йому імена. Однак, якщо у вас кілька серверів, то їх внутрішні імена доведеться ввести вручну, що я і зробив.

запит

Перевіряємо зведену інформацію:

запит

Якщо ви дійшли до цього моменту, то метушня із запитом практично закінчилася. На цьому етапі вводимо дані організації. Можна ввести будь-що, але нехай краще там буде осмислена інформація, якщо ви робите сертифікат для свого роботодавця.

запит

Випуск сертифіката

Для початку збережемо сертифікат кореневого центру, щоб потім поширити його через групові політики (трохи забігаю вперед):

exchange

exchange

Знову заходимо на стартову сторінку центру сертифікації тепер вже для отримання сертифіката Exchange 2013. Ідемо як на скріншотах:

exchange

локальний

локальний

запит

Ось тут починається найцікавіше. Потрібно вибрати шаблон сертифіката «Веб-сервер», але у списку, що випадає, у мене його не було! Причина крилася в правах: сеанс браузері був відкритий з-під користувача без прав адміністратора домену або адміністратора організації. Чомусь легкою дорогою (відкрити браузер під адміном домену) я не пішов, у мене навіть не виникло такої думки і я вирішив таки видати права потрібному користувачеві. Для цього на сервері сертифікації заходимо в оснастку «Шаблони сертифікатів» та шукаємо шаблон «Веб-сервер». Після чого у властивостях даємо необхідні права вашому обліку:

exchange

Тепер у вас є всі шанси отримати потрібний сертифікат, вибравши шаблон, до якого ви щойно налаштовували права:

сертифіката

Ми мали запит на отримання сертифіката в центрі адміністрування Exchange і єготовий сертифікат. Виконуємо запит і призначаємо сертифікату необхідні сервіси (значок олівця в EAC7, далі «Служби», повинні бути обрані як мінімум «SMTP» та «IIS», при збереженні змін вам буде запропоновано перезаписати сертифікат, що використовується новим, погоджуємося )