Создание запроса Exchange Server сертификата для центра сертификации

Создание запроса на сертификат является первым шагом при установке нового сертификата на сервере Exchange server для настройки шифрования TLS для одной или нескольких служб Exchange. Такой запрос позволяет получить сертификат из центра сертификации (ЦС). Эти процедуры одинаковы для получения сертификатов из внутреннего ЦС (например, служб сертификатов Active Directory) или из коммерческого ЦС. После создания запроса на сертификат вы отправляете результат в центр сертификации, а последний использует эти сведения для выдачи фактического сертификата, который можно установить позже.

Запросы на сертификаты можно создавать в Центре администрирования Exchange (EAC) или в командной консоли Exchange. Мастер создания сертификатов Exchange в EAC может помочь вам выбрать имена узлов, необходимые в сертификате.

Что нужно знать перед началом работы

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Дополнительные сведения о необходимых разрешениях см. в записи "Безопасность служб клиентского доступа" статьи о разрешениях клиентов и мобильных устройств.

  • Предполагаемое время выполнения: 5 минут на каждый новый запрос. Однако требуется больше времени, прежде чем запрос приведет к выдаче сертификата. Дополнительные сведения см. в разделе Дальнейшие действия.

  • Следует тщательно выбрать тип сертификата, который вам требуется, и имена узлов, которые необходимо в нем указать. Дополнительные сведения см. в статье о цифровых сертификатах и шифровании в Exchange Server.

  • Всегда проверяйте требования центра сертификации к запросам на сертификаты. Exchange создает файл запроса PKCS #10 (REQ), использующий кодировку Base64 (по умолчанию) или Distinguished Encoding Rules (DER) с открытым ключом RSA 1024, 2048 (по умолчанию) или 4096 битами. Параметры кодирования и открытого ключа доступны только в командной консоли Exchange. Дополнительные сведения см. в статье New-ExchangeCertificate.

  • В EAC необходимо сохранить файл запроса сертификата по UNC-пути (\\<Server>\<Share>\ или \\<LocalServerName>\c$\). В командной консоли Exchange вы можете указать локальный путь.

  • Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Дополнительные сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в разделе "Сочетания клавиш " в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Использование Центра администрирования Exchange для создания нового запроса на сертификат

Примечание

Запрос сертификата ECP устарел в Накопительном пакете обновления 12 (CU12) для Exchange 2019 и более поздних версий, а также в Накопительном пакете обновления 23 (CU23) для Exchange 2016 и более поздних версиях.

  1. В Центре администрирования Exchange последовательно выберите пункты Серверы > Сертификаты.

  2. В раскрывающемся списке "Выбор сервера" выберите сервер Exchange Server, на котором требуется установить сертификат, а затем щелкните значок "Добавить".

Запустится мастер Создание сертификата Exchange.

  1. В мастере будет создаваться новый сертификат или страница файла запроса сертификата, проверять, выбран ли запрос на создание сертификата из центра сертификации, а затем нажмите кнопку "Далее".

    Примечание

    Сведения о создании самозаверяющего сертификата см. в статье "Создание нового Exchange Server самозаверяющего сертификата".

  2. На странице "Понятное имя сертификата " введите описательное имя сертификата и нажмите кнопку " Далее".

  3. На странице Запрос группового сертификата выберите одно из следующего:

    • Если требуется сертификат с подстановочными знаками , выберите "Запросить сертификат с подстановочными знаками" и введите подстановочный знак (*) и домен в поле корневого домена, *например .contoso.com *или .eu.contoso.com. По завершении нажмите кнопку Далее.
    • Если требуется сертификат с альтернативным именем субъекта (SAN), не выберите нужный вариант на этой странице и нажмите кнопку "Далее".
    • Если требуется сертификат для одного узла, не выберите нужный вариант на этой странице и нажмите кнопку "Далее".
  4. В запросе сертификата Магазина на этой странице сервера нажмите кнопку "Обзор" и выберите сервер Exchange Server, на котором вы хотите сохранить запрос сертификата (на котором требуется установить сертификат). Затем нажмите кнопку "ОК " и "Далее".

    Примечание

    Шаги 7 и 8 применимы только к запросу на сертификат SAN или сертификат для одного узла. Если вы выбрали вариант Запрос группового сертификата, переходите к шагу 9.

Появится страница "Укажите домены", которые нужно включить в страницу сертификата. Эта страница по сути является листом, который помогает определить внутренние и внешние имена узлов, необходимые в сертификате для следующих служб Exchange:

  • Outlook в Интернете
  • Формирование автономной адресной книги (OAB)
  • веб-службы Exchange
  • Exchange ActiveSync
  • Автообнаружение
  • POP
  • IMAP
  • Мобильный Outlook
  1. Введите значение для каждой службы в зависимости от расположения (внутренней или внешней). Затем мастер определяет имена узлов, необходимые в сертификате, а сведения отображаются на следующей странице.

  2. Если вы хотите изменить значение службы, нажмите кнопку "Изменить " (значок редактирования) и введите нужное значение имени узла (или удалите значение). По завершении нажмите кнопку Далее.

    Примечание

    Если вы уже определили необходимые имена узлов, вам не нужно заполнять поля на этой странице. Вместо этого нажмите кнопку "Далее ", чтобы вручную ввести имена узлов на следующей странице.

В зависимости от выбранных параметров на странице сертификата будут включены следующие домены. На этой странице перечислены имена узлов, которые будут включены в запрос сертификата. Имя узла, используемого в поле субъекта сертификата, выделено полужирным шрифтом, что может быть сложно определить, выбрано ли это имя узла.

  1. Проверьте записи имени узла, необходимые в сертификате, ссылаясь на выбранные на предыдущей странице параметры.

    Если вы не хотите рассматривать этот список имен узлов для включения в запрос сертификата, перейдите к шагу 10.

  2. Игнорируйте значения с последней страницы и добавляйте, изменяйте или удаляйте значения имени узла, выполнив следующие действия: a. Если требуется сертификат SAN: чтобы выбрать имя узла для поля субъекта сертификата, выберите значение и выберите "Задать как общее имя" (флажок). После этого значение должно быть выделено полужирным шрифтом. Б. Если требуется сертификат для одного имени узла, выберите другие значения по одному и нажмите кнопку " Удалить" (значок "Удалить").

    Примечание

    Вы не можете удалить значение полужирного имени узла, которое будет использоваться для поля субъекта сертификата . Сначала необходимо выбрать или добавить другое имя узла, а затем установить флажок "Задать как общее имя". Изменения, внесенные на этой странице, могут быть потеряны при нажатии кнопки "Назад ".

  3. На странице Укажите сведения об организации введите следующую информацию:

  • Название организации
  • Название отдела
  • Город или населенный пункт
  • Область, республика, край, округ
  • Название страны или региона

Примечание

Эти значения X.500 включены в поле субъекта сертификата . Хотя значение требуется в каждом поле, прежде чем продолжить, ЦС может не иметь значения для определенных полей (например, название отдела), в то время как другие поля важны (например, название страны или региона и название организации). Установите флажок "Тема" для вашего ЦС.

  1. По завершении нажмите кнопку Далее.

  2. В запросе на сохранение сертификата на следующей странице файла введите UNC-путь и имя файла для запроса сертификата, \\FileServer01\Data\ExchCertRequest.reqнапример . По завершении нажмите кнопку "Готово".

После этого запрос сертификата появится в списке сертификатов Exchange со статусом Ожидает. Дополнительные сведения о следующих шагах см. в разделе "Дальнейшие действия".

Создание нового запроса сертификата с помощью командной консоли Exchange

Чтобы создать новый запрос для сертификата с подстановочными знаками, сертификата SAN или сертификата для одного узла, используйте следующий синтаксис:

  • Если необходимо отправить содержимое файла запроса сертификата в ЦС, используйте следующий синтаксис, чтобы создать файл запроса в кодировке Base64:

    $txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
    [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
    
  • Если необходимо отправить файл запроса сертификата в ЦС, используйте следующий синтаксис, чтобы создать файл запроса в кодировке DER:

    $binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
    [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
    

Примечание

Для выполнения команды требуется только часть значения параметра SubjectName X.500 (поле субъекта сертификата).CN=<HostNameOrFQDN> Но всегда следует включать значение C=<CountryOrRegion> . В противном случае вы не сможете продлить сертификат. Установите флажок "Тема" для вашего ЦС. Если параметр KeySize не используется, запрос сертификата имеет 2048-разрядный открытый ключ RSA. Если параметр Server не используется, команда выполняется на локальном сервере Exchange Server.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ExchangeCertificate.

Запрос на сертификат с подстановочными знаками

В этих примерах создаются файлы запросов сертификатов для сертификатов с подстановочными знаками со следующими свойствами:

  • SubjectName: *.contoso.com в США, для которого требуется значениеC=US,CN=*.contoso.com.
  • RequestFile: \\FileServer01\Data\Contoso Wildcard Cert.<cer or pfx>
  • FriendlyName: Contoso.com с подстановочными знаками

Чтобы создать файл запроса в кодировке Base64 для сертификата с подстановочным знаком, выполните следующую команду:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Чтобы создать файл запроса в кодировке DER для сертификата с подстановочным знаком, выполните следующую команду:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.pfx', $binrequest.FileData)

Запрос сертификата SAN

В этих примерах создаются файлы запросов сертификатов для сертификатов SAN со следующими свойствами:

  • SubjectName: mail.contoso.com в США, для которого требуется значениеC=US,CN=mail.contoso.com. Это значение CN автоматически включается в параметр DomainName (поле альтернативного имени субъекта ).
  • Другие значения полей альтернативного имени субъекта:
    • autodiscover.contoso.com
    • legacy.contoso.com
    • mail.contoso.net
    • autodiscover.contoso.net
    • legacy.contoso.net
  • RequestFile: \\FileServer01\Data\Contoso SAN Cert.<cer or pfx>
  • FriendlyName: Contoso.com SAN Cert
  • DomainName: список доменов с разделителями-запятыми без кавыквы

Чтобы создать файл запроса в кодировке Base64 для сертификата SAN, выполните следующую команду:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Чтобы создать файл запроса в кодировке DER для сертификата SAN, выполните следующую команду:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.pfx', $binrequest.FileData)

Запрос на сертификат одного субъекта

В этих примерах создаются файлы запросов сертификатов для сертификатов с одним субъектом со следующими свойствами:

  • SubjectName: mail.contoso.com в США, для которого требуется значениеC=US,CN=mail.contoso.com.
  • RequestFile: \\FileServer01\Data\Mail.contoso.com Cert.<cer or pfx>
  • FriendlyName: Mail.contoso.com Cert

Чтобы создать файл запроса в кодировке Base64 для одного сертификата субъекта, выполните следующую команду:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Чтобы создать файл запроса в кодировке DER для одного сертификата субъекта, выполните следующую команду:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.pfx', $binrequest.FileData)

Как вы знаете, что эти команды сработали?

Чтобы убедиться, что вы успешно создали новый запрос сертификата, выполните одно из следующих действий:

  • В EAC на серверных > сертификатах проверьте, выбран ли сервер, на котором хранится запрос сертификата. Запрос должен находиться в списке сертификатов со значением параметра Status , заданным как ожидающий запрос.

  • В командной консоли Exchange на сервере, где хранится запрос сертификата, выполните следующую команду:

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
    

Дальнейшие действия

Содержимое файла запроса сертификата в кодировке Base64 выглядит так, как показано ниже.

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Вам нужно отправить эту информацию в центр сертификации. Способ отправки зависит от ЦС, но обычно содержимое файла отправляется в сообщении электронной почты или в форме запроса сертификата на веб-сайте ЦС.

Если центр сертификации требует, чтобы запрос на сертификат был в двоичном формате в кодировке DER (если использовался командлет New-ExchangeCertificate с параметром BinaryEncoded), в центр сертификации обычно требуется отправить сам файл запроса на сертификат.

После получения сертификата от центра сертификации необходимо завершить ожидающий запрос на сертификат. Дополнительные сведения см. в разделе "Завершение ожидающего запроса Exchange Server сертификата".