Как установить SSL сертификат на MS Exchange 2013?

Question

[Spelldon]

Добрый день !
В Скором времени истекает SSL сертификат на сервере MS Exchange 2013 (ставил предыдущий системный администратор)
Мог бы кто-нибудь расписать алгоритм установки нового (покупать собираюсь wildcard)

P.s в интернете много различных мануалов, но почему-то методы все разные и не понятно , что лучше. А положить сервер неправильными командами/действиями не хотелось бы.

Comments

[Everything_is_bad]

А положить сервер неправильными командами/действиями не хотелось бы.

ну так поднимай тестовый стенд и на нем практикуйся, ты так же "местными" мануалами можешь его положить.

Answer 1

[Роман Безруков]

основных методов два - EAC и Exchange PowerShell
1. сертификат должен быть PFX (PKCS12)
2. у вас предполагается wildcard-сертификат (*.maildomain.ext) - проверьте имена виртуальных каталогов
3. импортируете сертификат на сервер Exchange (через Import-ExchangeCertificate или руками в хранилище локальной машины)
4. Привязываете новый сертификат к сервисам через Enable-ExchangeCertificate
5. перезапускаете IIS и Exchange Transport
6. если нужны IMAP/POP

Set-IMAPSettings -Server "ExSrv" -X509Certificate imap.maildomain.ext
Set-POPSettings -Server "ExSrv" -X509Certificate pop.maildomain.ext
Get-Service "*imap4*" | Restart-Service
Get-Service "*pop3*" | Restart-Service

7. удаляете старый сертификат через Remove-ExchangeCertificate
8. проверяете ECP/OWA
инструкция - Install Exchange certificate with PowerShell

лучше делать в нерабочее время/выходные, т.к. Exchange некоторое время может тупить после смены сертификата

Comments

[Spelldon]

Спасибо! буду пробовать.

Answer 2

[CityCat4]

1. Внимательно просмотри существующий сертификат - какие в нем имена, SAN, EKU. Сертификат на эксч - это вещь еще та.
2. csr мне всегда выпускали админы, но я знаю, что выпускается она через виндовую оснастку.
3. Насчет применимости здесь wildcard не знаю, может быть и пойдет, я всегда заказываю SAN-сертификат, в который всегда вписываю имена:
owa.blabla.bla
autodiscover.blabla.bla
(как показала практика, если в сертификате в SAN нет autodiscover.blabla.bla - не работает поиск учетных записей и автонастрока оутлука, а также адресная книга)
4. Я запрашиваю сертификат в CA, получаю, передаю админам, они его устанавивают через оснастку.

Comments

[Роман Безруков]

если в сертификате в SAN нет autodiscover.blabla.bla - не работает поиск учетных записей и автонастрока оутлука, а также адресная книга

не знаю, какая у вас практика, но с wildcard-сертификатом все работает, и Autodiscover Redirect в том числе (когда у вас несколько почтовых доменов)

[CityCat4]

Роман Безруков, Просто у нас четыре домена в разных зонах - owa.blabla.ru и owa.blabla.com (и автодисковеры соответствующие), поэтому тут wildcard не проканает.

[Роман Безруков]

CityCat4, ну понятно - своя специфика, согласен...

[Роман Безруков]

CityCat4, даже при ваших условиях можно настроить с wildcard-сертом... :)
тут недавно был вопрос про множественные домены в сертификате для Exchange - я ответил про добавление всех имен в серт, и только потом вспомнил про Autodiscover Redirect

[CityCat4]

Роман Безруков, Не хочется:
- рисковать приличной суммой денег (SAN-сертификаты от GlobalSign стоят прилично)
- рисковать остановкой почты в конторе

Поэтому нафиг мне эти эксперименты, работает - не трогай.