Exchange 2007 Tip #2: Vygenerování jednoho SSL certifikátu pro několik jmen



Při instalaci Exchange 2007, resp. jeho role Client Access Server se velmi záhy dostanete do situace, kdy je potřeba zprovoznit všechny webové služby, přes zabezpečený kanál SSL. Kromě Outlook Web Accessu, Exchange ActiveSyncu je potřeba hlavně zprovoznit jednu z nejdůležitějších služeb pro korektní fungování Outlooku 2007 (a nejen pro něj), a to Autodiscover Service. Outlook 2007 je napevno nastaven (hard-coded) na autodiscover.domena.cz. Jedná se hlavně o to, aby všechny webové služby považovaly certifikát za důvěryhodný. K tomu účelu vám jistě přijde vhod následující skript, který vygeneruje žádost o certifikát s více jmény, tak aby se s jeho pomocí dalo přistupovat ke službám serveru Exchange šifrovaně pomocí nasledujících jmen:


https://E12SRV/owa


https://E12SRV.contoso.com/owa


https://mail.contoso.com/owa


https://autodiscover.contoso.com/


New-ExchangeCertificate -generaterequest -subjectname “dc=com,dc=contoso,o=Contoso Corporation,cn=mail.contoso.com” -domainname E12SRV,E12SRV.contoso.com,mail.contoso.com,autodiscover.contoso.com -path c:\certrequest.txt


Pomocí tohoto skriptu se vygeneruje žádost o SSL certifikát s primárním jménem (Subject Name) mail.contoso.com a se čtyřmi alternativními jmény (Subject Alternative Name). Tuto žádost pak už stačí jen poslat na nějakou certifikační autoritu (např. na Windows autoritu přes https://autorita/certsrv) a nechat si vygenerovat certifikát ve formátu DER nebo Base64Encoded. Tento certifikát pak už jen stačí importovat do úložiště certifikátů a přiřadit k Default Web Site pomocí příkazů Import-ExchangeCertificate a Enable-ExchangeCertificate:


Import-ExchangeCertificate -path <cesta k souboru.cer> – friendlyname “Contoso Mail” | Enable-ExchangeCertificate -services IIS


Na závěr doporučuji ještě restart služby IIS, např. pomocí příkazu iisreset, aby se projevily provedené změny.


Marian

Comments (6)

  1. alex says:

    tak tohle jsem uz nekde cetl, proc neuvedete zdroj ?

  2. blogCZSK says:

    Je to inspirováno Exchange 2007 Helpem a vlastní zkušeností s nasazováním Exchange 2007 u našich RDP (Rapid Deployment Program) zákazníků, kteří tento produkt nasazují v Beta verzích. V takovýchto případech se zdroj neuvádí. Pokud jste to už někde četl, pak je to obdobná situace, buď je to přímo z Helpu nebo to napsal člověk  co u nás píše dokumentaci v Helpu, na blog Exchange Teamu.

    Marian

  3. Birkoff says:

    Zdravím,

    pokud pomocí management shellu vygeneruji req, moje certifikační autorita na mě vyskočí s chybovou hláškou o templatech (něco ve smyslu že žádost neobsahuje template pro co má být cert určen). Nesetklai jste se s tím už někdo?

    Alex:

    Jestli to nebude tím, že takhle se to prostě dělá a proto jsou návody na internetu všechny na jedno brdo, hm?

  4. Birkoff says:

    Kromě toho teda ještě:

    pro počítače mimo doménu nefunguje v outlooku:

    – možnost zobrazení z menu "out of office"

    – zobrazení free/busy time při plánování kalendáře

    – stahování offline address booku

    – nefunguje autodiscovery

    🙂

    Díky předem

    Bff

  5. Birkoff says:

    Druhý post vyřešen, teď mě trápí pouze ten request

  6. Dobry den,

    problém může být způsoben tím, že Certifikační autorita má ve výchozím stavu zakázáno vystavovat certifikáty s rozšířením SAN. Je třeba SAN povolit pomocí příkazu certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 a provést restart služby.

    Dále může být problém ve výběru správné šablony. Měla by to být šablona typu Web Server a nesmí mít nastaveno načítání subject name z Active Directory.

    S pozdravem

    Mirek Knotek