Exchange 2007 Tip #2: Vygenerování jednoho SSL certifikátu pro několik jmen

Při instalaci Exchange 2007, resp. jeho role Client Access Server se velmi záhy dostanete do situace, kdy je potřeba zprovoznit všechny webové služby, přes zabezpečený kanál SSL. Kromě Outlook Web Accessu, Exchange ActiveSyncu je potřeba hlavně zprovoznit jednu z nejdůležitějších služeb pro korektní fungování Outlooku 2007 (a nejen pro něj), a to Autodiscover Service. Outlook 2007 je napevno nastaven (hard-coded) na autodiscover.domena.cz. Jedná se hlavně o to, aby všechny webové služby považovaly certifikát za důvěryhodný. K tomu účelu vám jistě přijde vhod následující skript, který vygeneruje žádost o certifikát s více jmény, tak aby se s jeho pomocí dalo přistupovat ke službám serveru Exchange šifrovaně pomocí nasledujících jmen:

https://E12SRV/owa

https://E12SRV.contoso.com/owa

https://mail.contoso.com/owa

https://autodiscover.contoso.com/

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=mail.contoso.com" -domainname E12SRV,E12SRV.contoso.com,mail.contoso.com,autodiscover.contoso.com -path c:\certrequest.txt

Pomocí tohoto skriptu se vygeneruje žádost o SSL certifikát s primárním jménem (Subject Name) mail.contoso.com a se čtyřmi alternativními jmény (Subject Alternative Name). Tuto žádost pak už stačí jen poslat na nějakou certifikační autoritu (např. na Windows autoritu přes https://autorita/certsrv) a nechat si vygenerovat certifikát ve formátu DER nebo Base64Encoded. Tento certifikát pak už jen stačí importovat do úložiště certifikátů a přiřadit k Default Web Site pomocí příkazů Import-ExchangeCertificate a Enable-ExchangeCertificate:

Import- ExchangeCertificate -path <cesta k souboru.cer> - friendlyname "Contoso Mail" | Enable-ExchangeCertificate -services IIS

Na závěr doporučuji ještě restart služby IIS, např. pomocí příkazu iisreset, aby se projevily provedené změny.

Marian