Exchange 2007 Tip #2: Vygenerování jednoho SSL certifikátu pro několik jmen

Exchange 2007 Tip #2: Vygenerování jednoho SSL certifikátu pro několik jmen

  • Comments 6
  • Likes

Při instalaci Exchange 2007, resp. jeho role Client Access Server se velmi záhy dostanete do situace, kdy je potřeba zprovoznit všechny webové služby, přes zabezpečený kanál SSL. Kromě Outlook Web Accessu, Exchange ActiveSyncu je potřeba hlavně zprovoznit jednu z nejdůležitějších služeb pro korektní fungování Outlooku 2007 (a nejen pro něj), a to Autodiscover Service. Outlook 2007 je napevno nastaven (hard-coded) na autodiscover.domena.cz. Jedná se hlavně o to, aby všechny webové služby považovaly certifikát za důvěryhodný. K tomu účelu vám jistě přijde vhod následující skript, který vygeneruje žádost o certifikát s více jmény, tak aby se s jeho pomocí dalo přistupovat ke službám serveru Exchange šifrovaně pomocí nasledujících jmen:

https://E12SRV/owa

https://E12SRV.contoso.com/owa

https://mail.contoso.com/owa

https://autodiscover.contoso.com/

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=mail.contoso.com" -domainname E12SRV,E12SRV.contoso.com,mail.contoso.com,autodiscover.contoso.com -path c:\certrequest.txt

Pomocí tohoto skriptu se vygeneruje žádost o SSL certifikát s primárním jménem (Subject Name) mail.contoso.com a se čtyřmi alternativními jmény (Subject Alternative Name). Tuto žádost pak už stačí jen poslat na nějakou certifikační autoritu (např. na Windows autoritu přes https://autorita/certsrv) a nechat si vygenerovat certifikát ve formátu DER nebo Base64Encoded. Tento certifikát pak už jen stačí importovat do úložiště certifikátů a přiřadit k Default Web Site pomocí příkazů Import-ExchangeCertificate a Enable-ExchangeCertificate:

Import-ExchangeCertificate -path <cesta k souboru.cer> - friendlyname "Contoso Mail" | Enable-ExchangeCertificate -services IIS

Na závěr doporučuji ještě restart služby IIS, např. pomocí příkazu iisreset, aby se projevily provedené změny.

Marian

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment
  • tak tohle jsem uz nekde cetl, proc neuvedete zdroj ?

  • Je to inspirováno Exchange 2007 Helpem a vlastní zkušeností s nasazováním Exchange 2007 u našich RDP (Rapid Deployment Program) zákazníků, kteří tento produkt nasazují v Beta verzích. V takovýchto případech se zdroj neuvádí. Pokud jste to už někde četl, pak je to obdobná situace, buď je to přímo z Helpu nebo to napsal člověk  co u nás píše dokumentaci v Helpu, na blog Exchange Teamu.

    Marian

  • Zdravím,

    pokud pomocí management shellu vygeneruji req, moje certifikační autorita na mě vyskočí s chybovou hláškou o templatech (něco ve smyslu že žádost neobsahuje template pro co má být cert určen). Nesetklai jste se s tím už někdo?

    Alex:

    Jestli to nebude tím, že takhle se to prostě dělá a proto jsou návody na internetu všechny na jedno brdo, hm?

  • Kromě toho teda ještě:

    pro počítače mimo doménu nefunguje v outlooku:

    - možnost zobrazení z menu "out of office"

    - zobrazení free/busy time při plánování kalendáře

    - stahování offline address booku

    - nefunguje autodiscovery

    :)

    Díky předem

    Bff

  • Druhý post vyřešen, teď mě trápí pouze ten request

  • Dobry den,

    problém může být způsoben tím, že Certifikační autorita má ve výchozím stavu zakázáno vystavovat certifikáty s rozšířením SAN. Je třeba SAN povolit pomocí příkazu certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 a provést restart služby.

    Dále může být problém ve výběru správné šablony. Měla by to být šablona typu Web Server a nesmí mít nastaveno načítání subject name z Active Directory.

    S pozdravem

    Mirek Knotek