Сертифікація Exchange 2010

Якщо йдеться про безпечне підключення через HTTPS, то на думку відразу спадає питання забезпечення цього з'єднання сертифікатом безпеки, а відповідно і завдання цей сертифікат десь отримати.

Доступ до сервісів поштового сервера в локальній мережі – це одне, а ось доступ з мережі Інтернет має бути добре захищений, тому без HTTPS тут нікуди! Якщо йдеться про безпечне підключення через HTTPS, то на думку відразу спадає питання забезпечення цього з'єднання сертифікатом безпеки, а відповідно і завдання цей сертифікат десь отримати.

Exchange 2010 вже має свій власний (самопідписаний) сертифікат, який за замовчуванням використовується для надання локального доступу до Outlook 2010, OWA тощо. У нашому випадку такий сертифікат не підійде і ми здивуємося видачею сертифіката безпеки серверу Exchange 2010 з локального центру сертифікації (питання придбання та встановлення комерційних сертифікатів не розглядатимемо). Для того щоб видати сертифікат, нам необхідно в локальній мережі мати як мінімум одніЦентр сертифікації(ЦС). Для цього на будь-якому сервері під керуванням Windows Server 2008 R2 потрібно встановити рольСлужби сертифікаціїActiveDirectory та додати компонентиЦентр сертифікації таСлужба реєстрації в центрі сертифікації через Інтернет (для отримання сертифікатів через веб -Браузер).

сертифікація

Рис.1: Встановлення служб сертифікації Active Directory.

У даному сценарії доступ до сервісів Exchange відбуватиметься як з локальної мережі підприємства, так і з мережі Інтернет, відповідно клієнти будуть використовувати як мінімум 2 FQDN імені для підключення. Справа в тому, що стандартні сертифікати можуть бути прив'язані тільки до одного FQDN-імені. Длявключення до сертифіката кількох імен вузлів необхідно в центрі сертифікації активувати функцію SAN.Subject Alternative Name – це спеціальне поле в сертифікаті, яке містить набір імен вузлів. Exchange 2010, при генерації запиту на сертифікат, сам додає до нього кілька імен вузлів, але без увімкненої функції SAN, центр сертифікації просто проігнорує всі зайві імена і залишить лише одне.

Для включення функції SAN на сервері з кореневим центром сертифікації необхідно виконати команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

і перезапустити сам ЦС:

net stop certsvc

net start certsvc

В результаті в сертифікатах ЦС з'явиться ще одне поле (див. мал.):

2010

Рис.2: Поле SAN у сертифікаті.

Закінчивши налаштування ЦС можна переміщатися на сервер Exchange, тут у розділіКонфігурація серверів давайте виберемо наш сервер клієнтського доступу (CAS ), і створимо запит на отримання нового сертифіката за допомогою діїNewExchangeCertificate … (це можна зробити через EMS за допомогою командлета New-ExchangeCertifate). Введемо зрозуміле ім'я сертифіката і на сторінціExchangeConfiguration уважно заповнимо FQDNімена вузлів для необхідних нам сервісів.

2010

Рис.3: Налаштування доменних імен сервісів Exchange.

В результаті майстер запропонує вам список доменних імен, які будуть включені до сертифікату. Якби ми не включили функцію SAN у нашому центрі сертифікації, то в цьому випадку сертифікат був би прив'язаний лише до доменного імені, зазначеного якSet as common name.

сертифікація

Рис.4: Налаштування списку доменних імен.

На наступному етапі майстра потрібно заповнитиінформацію про вашу організацію та зберегти запит у файл з розширенням*.req.

2010

Рис.5: Розширений запит сертифіката.

2010

Рис.6: Генерація сертифіката для Exchange.

Тепер повертаємося в консоль управління Exchange, вибираємо новий сертифікат та підтверджуємо його дієюCompletePending Request

Рис.7: Підтвердження сертифікату.

Якщо все зроблено правильно, то значок сертифіката буде позначений білою галочкою на блакитному тлі, і ми зможемо приступити до наступного кроку.

Примітка: Якщо сертифікат прийнятий не був, то варто перевірити чи є у сервера довіра до центру сертифікації, що видав його, для цього потрібно відкритиMMC, додати оснасткуСертифікати – Локальний комп'ютер і подивитися в розділTrusted Root Certification Authorities, там має бути сертифікат кореневого ЦС, якщо його там немає, його потрібно запросити зі сторінки http://YourCA/certsrv — запит сертифіката ЦС і імпортувати.

Після успішного підтвердження сертифіката, необхідно йому призначити потрібні сервіси, для цього натиснемо на ньому правою кнопкою миші - Assign Services to Certificate ... і виберемо необхідні сервіси, включаючи IIS.

Рис.8: Надання сертифікату необхідних служб.

В результаті в службіIIS у сайту за умовчанням (Default Web Site ) повинен змінитисяSLL сертифікат дляhttps, перевірити це можна зайшовши в майстер редагуванняПрив'язок (Bindings).

сертифікація

SSL сертифікат для https.

Імпорт/експорт сертифікатів

Для того, щоб клієнти та сервери (наприклад, ISA/TMG) могли приймати сертифікат Exchange і користуватися ним, потрібно виконати 2 умови:

1. Забезпечити клієнтів довірою до цього сертифіката;

2. Забезпечити сервери самим сертифікатом.

2010

Рис.10: Запит сертифіката ЦС.

Завантаживши сертифікат на локальний комп'ютер, його можна імпортувати на клієнтів за допомогою групової політики (для доменних користувачів) —Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certificate Authorities

Exchange

Рис.11: Призначення кореневих сертифікатів за допомогою GPO.

Або вручну за допомогою оснасткиMMC -Certificates. ЗапускаємоMMC від імені адміністратора– File – Add/Remove Snap-is – Certificates – Computer AccountLocal Computer – вибираємопотрібний розділ і натискаємоІмпорт.

Exchange

Рис.12: Імпорт сертифіката через MMC.

Також можна встановити сертифікат натиснувши на файлі правою кнопкою миші –Встановити сертифікат (Install Certificate) і помістити його в необхідний контейнер:

сертифікація

Рис.13: Встановіть сертифікат у вибраний контейнер.

Але в цьому випадку сертифікат буде встановлений не для комп'ютера, а користувача.

Що стосуєтьсяекспорту, тоОсобисті (Personal) сертифікати вивантажуються з приватним ключем

сертифікат

Рис.14: Вивантаження сертифіката із приватним ключем.

І при розвантаженні треба зазначити, що експорт необхідно здійснити з усіма додатковими параметрами:

сертифікація

Рис.15: Вивантаження із додатковими параметрами.

Далі необхідно вказати пароль на файл і зберегти файл із розширенням*.pfx на локальний комп'ютер.

Корневі сертифікати вивантажуються простіше, тут потрібно вказати форматDER encoded binary X.509 (.CER) та зберегти сертифікат у файл з розширенням*.cer.

2010

Рис.16: Вивантаження кореневихсертифікатів у файл *.cer

Сертифікат сервера Exchange 2010 можна вивантажити просто натиснувши на ньому правою кнопкою миші в консолі управління Exchange -Export.

Потім необхідно скопіювати отримані файли на потрібний сервер/комп'ютер імпортувати їх. Що ж до клієнтських ПК, їм необхідний лише сертифікат кореневого ЦС, щоб довіряти всім іншим сертифікатам, виданим цим ЦС. Для серверів (TMG/ISA) плюсом до кореневого сертифікату потрібно імпортувати сертифікат Exchange`a, щоб він міг використовуватися на прослуховувачі (Listener`e).