Можно ли иметь два или более сертификата на сервере Exchange 2013 с одинаково назначенными службами?

Question

[kinderya]

Добрый день. Подскажите можно ли иметь два или более сертификата на сервере Exchange 2013 с одинаково назначенными службами. Для примера есть один действующий сертификат и один с недопустимой датой. Хотелось бы понять можно ли его удалить или лучше продлить. Ниже примеры сертификатов. Прошу сильно не пинать так как только начинаю изучать echange.
Сертификат, подписанный центром сертификации
Издатель: CN=E4, O=Le Encrypt, C=UC
Состояние
Допустимый
Срок действия истекает: 19.06.2024
Срок действия истекает:Продлить
Назначено службам
IMAP, POP, IIS, SMTP
и
EX13TST
Сертификат, подписанный центром сертификации
Издатель: CN=EN CA, DC=en, DC=local
Состояние
Недопустимая дата
Срок действия истекает: 02.03.2024
Срок действия истекает:Продлить
Назначено службам
POP, IIS, SMTP

Answer 1

[Роман Безруков]

Работает только один сертификат. Назначить двум сертификатам одинаковые службы не получится.
Просроченные сертификаты можно смело удалять, если на службы назначен другой действующий сертификат.

В вашем примере сертификат EX13TST можно удалить

Comments

[kinderya]

А подскажите еще по поводу такой ошибки: Отсутствует допустимый сертификат SMTP TLS для полного доменного имени E4.en.local. Существующий сертификат для этого полного доменного имени устарел. Продолжение использования этого полного доменного имени может привести к проблемам с потоком почты. Необходимо как можно скорее установить на сервере новый сертификат, содержащий полное доменное имя E4.en.local. Чтобы создать сертификат, можно использовать задачу New-ExchangeCertificate. Этот сертификат - EX13TST
В неактивном сертификате было прописано полное доменное в Альтернативных именах субъектов, а в новом этого нет. Повлияет ли это на работу или ошибка просто пропадет из просмотра событий.

[Роман Безруков]

kinderya, повлияет...
выпустите новый серт с нужным именем (или wildcard), можно через тот же LE сделать...в документации Exchange это все расписано по шагам...

Издатель: CN=EN CA, DC=en, DC=local

это внутренний центр сертификации?

[kinderya]

Роман Безруков, нет это сертификат сделан с помощью Let‎'s Encrypt. К нему как-то можно добавить имена субьектов?

[Роман Безруков]

kinderya, в уже выпущенный сертификат ничего добавить нельзя...
Делаете новый запрос, добавляете в него нужные имена - получаете новый сертификат...после этого меняете сертификат на сервере Exchange.

[kinderya]

Понял. Буду делать!