Назначение сертификатов службам Exchange Server

После установки сертификата на Exchange сервере необходимо назначить сертификат одной или Exchange службе, прежде чем Exchange сервер сможет использовать сертификат для шифрования. Вы можете назначать сертификаты службам через Центр администрирования Exchange (EAC) или командную консоль Exchange. Назначение сертификата службе невозможно удалить. Если вы больше не хотите использовать сертификат для определенной службы, назначьте ей другой сертификат и удалите ненужный.

В следующей таблице описаны доступные службы Exchange.

Служба Использует
IIS Шифрование TLS для внутренних и внешних клиентских подключений, использующих HTTP. Вот некоторые из них:
Автообнаружение
Exchange ActiveSync
Центр администрирования Exchange
веб-службы Exchange
Распространение автономных адресных книг
Мобильный Outlook (протокол RPC через HTTP)
MAPI Outlook через HTTP
Outlook в Интернете
IMAP Шифрование TLS для клиентских подключений по протоколу IMAP4.
Не назначайте групповой сертификат службе IMAP4. Используйте командлет Set-ImapSettings для настройки полного доменного имени (FQDN), с помощью которого клиенты подключаются к службе IMAP4.
POP Шифрование TLS для клиентских подключений по протоколу POP3.
Не назначайте групповой сертификат службе POP3. Используйте командлет Set-PopSettings для настройки полного доменного имени (FQDN), с помощью которого клиенты подключаются к службе POP3.
SMTP Шифрование TLS для внешних подключений к клиентам и серверам по протоколу SMTP
Проверка подлинности Mutual TLS между Exchange и другими серверами обмена сообщениями.
При назначении сертификата SMTP вам будет предложено заменить самозаверяемый сертификат Exchange, используемый для шифрования smTP-связи между внутренними Exchange серверами. Обычно заменять сертификат SMTP по умолчанию не нужно.
Единая система обмена сообщениями Шифрование TLS для клиентских подключений к службе серверов почтового ящика Exchange 2016 г.
Вы можете назначить сертификат службе единой системы обмена сообщениями, только если используется режим запуска TLS или "Двойной". Если используется режим запуска по умолчанию TCP, вы не можете назначить сертификат этой службе. (Примечание. В Exchange 2019 г. Exchange недоступна. Дополнительные сведения см. в статье Configure the Startup Mode on a Mailbox Server.
Маршрутизатор звонков единой системы обмена сообщениями (UMCallRouter) Шифрование TLS для клиентских подключений к службе маршрутизатора вызовов в службе клиентского доступа на Exchange почтовых ящиков 2016 г.
Вы можете назначить сертификат службе маршрутизатора звонков единой системы обмена сообщениями, только если используется режим запуска TLS или "Двойной". Если используется режим запуска по умолчанию TCP, вы не можете назначить сертификат этой службе. (Примечание. В Exchange 2019 г. Exchange недоступна. Дополнительные сведения см. в статье Configure the Startup Mode on a Client Access Server.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 5 минут.

  • После того как вы сделаете процедуры в этом разделе, вам может потребоваться перезапустить службы IIS (IIS). В некоторых сценариях Exchange использовать предыдущий сертификат для шифрования и расшифровки файлов cookie, используемых для проверки подлинности Outlook в Интернете (ранее Outlook Web App). Рекомендуется перезапустить IIS в средах, где используется балансировка нагрузки на уровне 4.

  • Если вы обновите или замените сертификат, который был выпущен центром сертификации на подписанном пограничном транспортном сервере, вам нужно будет удалить старый сертификат, а затем удалить и заново создать пограничную подписку. Дополнительные сведения см. в разделе Процесс пограничной подписки.

  • Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье запись "Безопасность служб клиентского доступа" в статье Разрешения клиентов и мобильных устройств.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующим ссылкам: Exchange Server, Exchange Online или Exchange Online Protection.

Назначить сертификат службам Exchange с помощью Центра администрирования Exchange

  1. В Центре администрирования Exchange последовательно выберите пункты Серверы > Сертификаты.

  2. В списке Выберите сервер выберите сервер Exchange, где находится сертификат.

  3. Выберите сертификат, который необходимо настроить, а затем нажмите кнопку Изменить значок Редактирование.. Сертификат должен иметь статус****Действительный.

  4. Выберите службы на вкладке Службы в разделе Укажите службы, которым вы хотите назначить этот сертификат. Обратите внимание, что вы можете только добавлять службы, но не удалять их. По завершении нажмите кнопку Сохранить.

Назначить сертификат службам Exchange с помощью командной консоли Exchange

Чтобы назначить сертификат службам Exchange, используйте следующий синтаксис:

Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]

В этом примере присваивается сертификат, 434AC224C8459924B26521298CE8834C514856AB который имеет значение отпечатка пальца, службам POP, IMAP, IIS и SMTP.

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP

Значение отпечатка сертификата можно найти с помощью командлета Get-ExchangeCertificate.

Как убедиться, что все получилось?

Чтобы убедиться, что вы успешно назначили сертификат одной или нескольким службам Exchange, выполните одно из следующих действий:

  • В Центре администрирования Exchange выберите Серверы > Сертификаты, убедитесь, что выбран сервер, на котором установлен сертификат. Выберите сертификат и убедитесь, что свойство Назначено службам в области сведений содержит выбранные службы.

  • В командной консоли Exchange на сервере, где вы установили сертификат, выполните следующую команду, чтобы проверить службы Exchange для сертификата:

    Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services