Создание самозаверяющего сертификата Exchange Server
При установке Exchange Server на сервер автоматически устанавливается самозаверяющий сертификат, созданный и подписанный самим сервером Exchange Server. Но вы также можете создать и использовать дополнительные самозаверяющие сертификаты.
Вы можете создавать самозаверяющие сертификаты в Центре администрирования Exchange (EAC) или командной консоли Exchange.
Что нужно знать перед началом работы
Предполагаемое время для завершения: 5 минут.
Самозаверяющие сертификаты Exchange хорошо работают для шифрования обмена данными между внутренними серверами Exchange, но не так хорошо для шифрования внешних подключений, так как клиенты, серверы и службы не доверяют автоматически самозаверяющим сертификатам Exchange. Сведения о создании запроса на сертификат (также известного как запрос подписи сертификата или CSR) для коммерческого центра сертификации, которому автоматически доверяют все клиенты, серверы и службы, см. в статье Создание Exchange Server запроса на сертификат для центра сертификации.
При создании самозаверяющего сертификата с помощью командлета New-ExchangeCertificate его можно назначить службам Exchange во время создания сертификата. Дополнительные сведения о службах Exchange см. в статье Назначение сертификатов Exchange Server службам.
Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Безопасность служб клиентского доступа" в разделе Разрешения клиентов и мобильных устройств .
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.
Создать самозаверяющий сертификат Exchange с помощью Центра администрирования Exchange
Откройте EAC и перейдите в раздел Сертификаты серверов>.
В списке Выбор сервера выберите сервер Exchange Server, на котором требуется установить сертификат, и нажмите кнопку Добавить
Запустится мастер Создание сертификата Exchange. На странице Этот мастер создаст новый сертификат или файл запроса на сертификат выберите Создать самозаверяющий сертификат и нажмите кнопку Далее.
Примечание: Сведения о создании нового запроса на сертификат для центра сертификации см. в статье Создание Exchange Server запроса на сертификат для центра сертификации.
На странице Понятное имя для этого сертификата введите понятное имя сертификата и нажмите кнопку Далее.
На странице Укажите серверы, к которым требуется применить этот сертификат, щелкните
На открывшейся странице Выберите сервер выберите сервер Exchange, на который необходимо установить сертификат, и нажмите Добавить - >. Повторите этот шаг нужное количество раз. Завершив выбор серверов, нажмите кнопку ОК.
По завершении нажмите кнопку Далее.
Страница Укажите домены, которые вы хотите включить в свой сертификат это лист, на котором можно определить необходимые имена внутренних и внешних узлов для следующих служб Exchange:
Outlook в Интернете
Формирование автономной адресной книги (OAB)
веб-службы Exchange
Exchange ActiveSync
Автообнаружение
POP
IMAP
Мобильный Outlook
Если вы введете значения для каждой службы на основе расположения (внутренней или внешней), мастер определит необходимые имена узлов, и они отобразятся на следующей странице. Чтобы изменить значение службы, нажмите кнопку Изменить (
и введите значение имени узла, которое вы хотите использовать (или удалите значение). По завершении нажмите кнопку Далее.Если вы уже определили необходимые имена узлов, вам не нужно заполнять поля на этой странице. Вместо этого нажмите кнопку Далее, чтобы вручную ввести имена узлов на следующей странице.
В зависимости от выбранных значений на странице сертификата будут включены следующие домены, в котором перечислены имена узлов, которые будут включены в самозаверяющий сертификат. The host name that's used in the certificate's Subject field is bold, which can be hard to see if that host name is selected. You can verify the host name entries that are required in the certificate based on the selections that you made on the previous page. Or, you can ignore the values from the last page and add, edit, or remove host name values.
Если требуется сертификат SAN, укажите в поле Subject одно общее имя (CN). Чтобы выбрать имя узла для поля Subject сертификата, выберите значение и установите флажок Задать как общее имя. После этого значение должно быть выделено полужирным шрифтом.
Если требуется сертификат для одного имени узла, выберите другие значения по одному и нажмите кнопку Удалить (
По завершении работы на этой странице нажмите кнопку Готово.
Примечания:
- Имя узла, выделенное полужирным шрифтом, будет использоваться для поля Subject сертификата, и его невозможно удалить. Сначала необходимо выбрать или добавить другое имя узла, а затем установить флажок Задать как общее имя.
- Если нажать кнопку Назад, изменения, внесенные на этой странице, могут быть потеряны.
Создать самозаверяющий сертификат Exchange с помощью командной консоли Exchange
Чтобы создать самозаверяющий сертификат Exchange, используйте следующий синтаксис:
New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]
В этом примере создается самозаверяющий сертификат на локальном сервере Exchange со следующими свойствами:
- Тема: <Имя_>сервера. Например, при выполнении команды на сервере с именем Mailbox01 значение будет
Mailbox01равно . - Альтернативные имена субъектов: <ServerName>, <Полное доменное имя> сервера. Например,
Mailbox01, Mailbox01.contoso.com. - Понятное имя: Microsoft Exchange
- Службы: POP, IMAP, SMTP.
New-ExchangeCertificate
В этом примере создается самозаверяющий сертификат на локальном сервере Exchange со следующими свойствами:
- Тема: Exchange01, для которого требуется значение
CN=Exchange01. Обратите внимание, что это значение автоматически включается в параметр DomainName (поле "Альтернативное имя субъекта "). - Дополнительные альтернативные имена субъекта:
- mail.contoso.com
- autodiscover.contoso.com
- Exchange01.contoso.com
- Exchange02.contoso.com
- Службы: SMTP, IIS
- Понятное имя: Сертификат Contoso Exchange
- Закрытый ключ можно экспортировать. То есть вы можете экспортировать сертификат с сервера и импортировать его на другие серверы.
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true
Примечания:
- Единственной обязательной частью значения параметра X.500 SubjectName (поле subject сертификата) является
CN=<HostNameOrFQDN>. - Некоторые значения параметра Services приводят к появлению предупреждений или подтверждений. Дополнительные сведения см. в статье Назначение сертификатов Exchange Server службам.
- Дополнительные сведения см. в статье New-ExchangeCertificate.
Как проверить, все ли получилось?
Чтобы убедиться, что вы успешно создали самозаверяющий сертификат Exchange, выполните любое из следующих действий:
В центре администрирования Exchange в разделе Сертификаты серверов> убедитесь, что выбран сервер, на котором был создан самозаверяющий сертификат. Сертификат должен быть в списке сертификатов и иметь статусДействительный.
В командной консоли Exchange на сервере, где вы создали самозаверяющий сертификат, выполните следующую команду и проверьте свойства:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter