Выполнение ожидающего запроса на сертификат Exchange Server

  • Статья

Выполнение ожидающего запроса сертификата (также известного как запрос подписи сертификата или CSR) — это следующий шаг при настройке шифрования TLS в Exchange Server. Получив сертификат из центра сертификации (ЦС), установите его на сервере Exchange, чтобы выполнить ожидающий запрос сертификата.

Вы можете выполнить ожидающий запрос сертификата в Центре администрирования Exchange (EAC) или командной консоли Exchange. Запросы новых сертификатов и запросы на обновление сертификатов выполняются одинаково. Процедуры также одинаковы как для сертификатов, выданных внутренним (например, службами сертификации Active Directory) и коммерческим ЦС.

ЦС может прислать вам один или несколько файлов сертификатов следующих типов:

  • Файлы сертификатов PKCS #12. Это двоичные файлы сертификатов, которые имеют расширения CER, CRT, DER, P12 или PFX и требуют пароля, если файл содержит закрытый ключ или цепочку доверия. ЦС может выдать вам для установки только один двоичный файл сертификата (защищенный паролем) или несколько корневых или промежуточных двоичных файлов сертификатов, которые также необходимо установить.

  • Файлы сертификатов PKCS #7. Это текстовые файлы сертификатов с расширениями P7B или P7C. Эти файлы содержат текст: -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- или -----BEGIN PKCS7----- и -----END PKCS7-----. Если вместе с двоичным файлом сертификата ЦС присылает вам файл цепочки сертификатов, его также необходимо установить.

Примечание.

Задачи управления сертификатами удаляются из EAC для Exchange Server 2016 CU23 и Exchange Server 2019 CU12. Используйте процедуру командной консоли Exchange для экспорта или импорта сертификата из этих версий.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 5 минут.

  • Процедуры, описанные в этом разделе, требуют создания нового запроса сертификата на сервере Exchange Server, отправки запроса сертификата в ЦС и получения сертификата из ЦС. Дополнительные сведения см. в статье Создание запроса на сертификат Exchange Server для центра сертификации.

  • В EAC необходимо получить файл сертификата из UNC-пути (\\<Server>\<Share> или \\<LocalServerName>\c$\). В командной консоли Exchange вы можете использовать локальный путь к файлу.

  • Если вы обновите или замените сертификат, который был выпущен центром сертификации на подписанном пограничном транспортном сервере, вам нужно будет удалить старый сертификат, а затем удалить и заново создать пограничную подписку. Дополнительные сведения см. в разделе Процесс пограничной подписки.

  • Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Безопасность служб клиентского доступа" в разделе Разрешения клиентов и мобильных устройств .

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Выполнить ожидающий запрос сертификата с помощью Центра администрирования Exchange

  1. Откройте EAC и перейдите в раздел Сертификаты серверов>.

  2. В списке Выберите сервер выберите сервер Exchange, где находится ожидающий запрос сертификата.

  3. Ожидающий запрос сертификата имеет следующие свойства:

    • В списке сертификатов в поле Статус указано значение Ожидающий запрос.

    • При выборе запроса сертификата из списка в области сведений появляется ссылка Выполнить.

    Выберите ожидающий запрос сертификата, который требуется выполнить, и нажмите ссылку Выполнить в области сведений.

  4. На открывшейся странице Выполнить ожидающий запрос в поле Файл для импорта введите UNC-путь и имя файла сертификата. Например, \\FileServer01\Data\ContosoCert.cer. После этого нажмите кнопку ОК.

Запрос сертификата становится сертификатом в списке сертификатов Exchange со значением СостояниеДопустимо. Дальнейшие действия см. в разделе Дальнейшие действия.

Выполнить ожидающий запрос сертификата с помощью командной консоли Exchange

Чтобы выполнить ожидающий запрос на сертификат, используйте следующий синтаксис:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (ConvertTo-SecureString -String '<Password> ' -AsPlainText -Force)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Этот синтаксис используется со следующими типами файлов сертификатов:

  • Двоичные файлы сертификатов (файлы PKCS #12 с расширениями CER, CRT, .der, .p12 или PFX).
  • Цепочка файлов сертификатов (текстовые файлы PKCS No 7 с расширениями P7B или P7C).

В этом примере импортируется двоичный файл \\FileServer01\Data\Contoso Cert.cer сертификата, защищенный паролем P@ssw0rd1 на локальном сервере Exchange Server.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (ConvertTo-SecureString -String 'P@ssw0rd1' -AsPlainText -Force)

В этом примере импортируется текстовый файл \\FileServer01\Data\Chain of Certificates.p7b сертификата на локальный сервер Exchange Server.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Примечания:

  • Параметр FileData принимает локальные пути, если файл сертификата находится на сервере Exchange Server, где выполняется команда, и это тот же сервер, на котором требуется импортировать сертификат. В противном случае используйте UNC-путь.
  • Если вы хотите экспортировать сертификат с сервера, на который вы его импортируете, необходимо использовать параметр PrivateKeyExportable со значением $true.
  • Дополнительные сведения см. в статье Import-ExchangeCertificate.

Как проверить, все ли получилось?

Чтобы убедиться, что вы успешно выполнили запрос сертификата и установили сертификат на сервере Exchange, выполните одно из следующих действий:

  • В центре администрирования Exchange в разделе Сертификаты серверов> убедитесь, что выбран сервер, на котором установлен сертификат. В списке серверов убедитесь, что сертификат имеет статусДействительный.

  • В командной консоли Exchange на сервере, где вы установили сертификат, выполните следующую команду и убедитесь, что сертификат указан в списке:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Дальнейшие действия

После завершения ожидающего запроса на сертификат путем установки сертификата на сервере необходимо назначить сертификат одной или нескольким службам Exchange, прежде чем сервер Exchange сможет использовать сертификат для шифрования. Дополнительные сведения см. в статье Назначение сертификатов службам Exchange.