Поделиться через


Инструкции по настройке сертификатов SSL для использования имен узлов сервера с доступом нескольких клиентов

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-10-24

В этом разделе объясняется, как с помощью командной консоли Exchange настроить несколько имен узлов для SSL-сертификатов.

При развертывании компьютеров, на которых выполняется Microsoft Exchange Server 2007 с установленной ролью сервера «Клиентский доступ», необходимо убедиться, что все клиенты, такие как Outlook Web Access и Outlook 2007, смогут подключиться к службам с помощью шифрованного сеанса, не получая сообщения об ошибке, утверждающего, что сертификат не является доверенным.

noteПримечание.
Чтобы Internet Security and Acceleration (ISA) Server мог обрабатывать SSL-соединения с Exchange 2007, необходимо включить имя субъекта сертификата в качестве первой записи SAN при запросе сертификата, который будет использоваться на нескольких серверах или с несколькими именами узлов.

С помощью среды управления Exchange можно создать запрос сертификата на включение всех имен узлов DNS серверов «Клиентский доступ». Затем пользователям разрешается подключение к сертификату для таких служб, как Outlook Anywhere, Autodiscover, POP3 и IMAP4, или единая система обмена сообщениями, которые перечислены в атрибуте альтернативных имен. Например, пользователи могут подключиться к службам Exchange, указав имя, как показано в следующих примерах:

Вместо того, чтобы требовать несколько сертификатов и поддерживать конфигурацию нескольких IP-адресов и веб-узлов служб IIS для каждого сочетания IP-порта и сертификата, можно создать единый сертификат, который дает возможность клиентам успешно подключаться к каждому имени узла с помощью SSL или Transport Layer Security (TLS).

Единый сертификат можно создать, добавив все возможные значения имен DNS к свойству сертификата Subject Alternative Name на запрос сертификата. Центр сертификации служб сертификатов Microsoft Windows должен создавать сертификат для каждого такого запроса.

noteПримечание.
Сторонние центры сертификации и Интернет центры сертификации выпустят сертификаты только для DNS-имен, для которых вы авторизованны. Поэтому, DNS-имена корпоративной сети, вероятно, не будут разрешены.

Настройка SSL-сертификатов для использования нескольких имен узлов серверов «Клиентский доступ»

  1. С помощью командлета New-ExchangeCertificate создайте файл запроса сертификата.

  2. Отправьте этот файл в центр сертификации служб сертификации Windows и воспользуйтесь шаблоном веб-сервер на странице Центр сертификации. Это приведет к .cer-файлу, который можно импортировать на сервер «Клиентский доступ».

  3. С помощью командлета Get-ExchangeCertificate определите отпечаток@@@ для вашего сертификата.

  4. После импорта сертификата его можно назначить для IIS, IMAP4 и POP3 с помощью командлета Enable-ExchangeCertificate.

Прежде чем приступить к работе

Для выполнения указанных ниже процедур используемой учетной записи необходимо делегировать роль администратора Exchange с правами на просмотр.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, см. в разделе Вопросы, связанные с разрешениями.

importantВажно!
Прежде чем выполнить эти процедуры, следует прочитать раздел Управление безопасностью клиентского доступа.
importantВажно!
Для обеспечения безопасности рекомендуется войти в систему компьютера с помощью учетной записи, которая не входит в группу администраторов, а затем использовать команду runas для запуска диспетчера службы IIS в качестве администратора. В командной строке введите runas /user:Имя_учетной_записи_администратора"mmc systemroot\system32\inetsrv\iis.msc".
importantВажно!
При настройке сертификатв для служб SSL и TLS необходимо рассмотреть много переменных. Кроме того, необходимо убедиться, что вы понимаете, как эти переменные могут повлиять на всю конфигурацию. Прежде чем продолжить, ознакомьтесь с разделом Создание сертификата или запроса сертификата для TLS.

Процедура

Использование среды управления Exchange для создания файла запроса сертификата

  1. Выполните следующую команду:

    New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt
    

    Эта команда создает текстовый файл, содержащий запрос сертификата в формате PKCS#10.

Использование среды управления Exchange дял импортирования сертификата

  1. Выполните следующую команду:

    Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
    

Использование среды управления Exchange дял определения отпечатка@@@ вашего сертификата

  1. Чтобы определить отпечаток@@@, выполните следующую команду:

    Get-ExchangeCertificate -DomainName "CAS01"
    
noteПримечание.
Эта команда возвращает несколько сертификатов, если существует несколько сертификатов, соответствующих указанному имени узла. Таким образом, необходимо убедиться, выбран отпечаток@@@ верного сертификата для вашего запроса.

Использование среды управления Exchange для назначения сертификата IIS, POP3 и IMAP4

  1. Чтобы назначить сертификат службам IIS, POP3 и IMAP4, выполните следующую команду:

    Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
    
  2. Или, чтобы назначить сертификат серверу, который в свою очередб назначает сертификат всем службам, выполняемым на сервере Exchange, выполните следующую команду:

    Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP" 
    

Дополнительные сведения о синтаксисе и параметрах командлетов Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate и New-ExchangeCertificate см. в разделе Глобальные командлеты.

Дополнительные сведения

Дополнительные сведения о создании сертификатов или запросов сертификатов для TLS и SSL см. в разделе Создание сертификата или запроса сертификата для TLS.