Внутреннее FQDN имя сервера Exchange 2007 — exch.domain.local, внешнее FQDN — owa.pubdomain.ru.
Стоит отдельно сказать что данный механизм также подходит для получения сертификата для начального развертывания Exchange 2007 и публикации на ISA Server 2006
Запрос нового сертификата
Запрос нового сертификата нужно осуществлять только с помощью PowerShell и командлета New-ExchangeCertificate.
New-ExchangeCertificate -GenerateRequest -IncludeAutoDiscover -PrivateKeyExportable $true
-SubjectName «CN=owa.pubdomain.ru, O=ALVIK LLC, C=RU»
-DomainName exch.domain.local, owa.pubdomain.ru, mail.pubdomain.ru
-FriendlyName «Microsoft Exchange 2007» -Path c:\exchange2007-cert.req
На что следует обратить внимание?
GenerateRequest — он сигнализирует о создании файла запроса на сертификат в сторонний центр сертификации. Без указания данного флага Exchange сервер сгенерирует самоподписанный сертификат.
SubjectName — поле CN должно в точности повторять FQDN к которому происходит обращение клиентов.
DomainName — должен содержать все альтернативные доменные имена, если таковы имеются. В моем случае пригодилось внутреннее имя сервера.
IncludeAutoDiscover — при наличии данного флага в запрос добавляются записи вида autodiscovery.domain.local для всех обслуживаемых доменов. Очень удобный параметр, не нужно в ручную перечислять данные записи.
PrivateKeyExportable — данный флаг позволит нам в дальнейшем экспортировать сертификат с закрытым ключем для передачи его на Isa Server 2006.
После выполнения данной операции будет сформирован текстовый файл запроса, который нужно передать в центр сертификации.
Открываем центр сертификации по адресу http://CA-Name/certsrv/ и делаем расширенный запрос сертификата:
Выбираем расширенный запрос сертификата:
Вставляем текст запроса:
После окончания операции мы получим .cer файл с новым сертификатом.
А где же закрытый ключ?
Естественно .cer файл не содержит закрытого ключа и на этом этапе обычно возникают трудности. Кажется, что сделал что-то не так, но все идет по плану. Exchange 2007 сам генерирует закрытый ключ и оставляет его в контейнере с запрошенным сертификатом и только после завершения процедуры импорта две половинки целого вновь соединятся и мы сможем получить долгожданный .pfx файл.
Импорт сертификата необходимо опять выполнять через PowerShell.
Import-ExchangeCertificate c:\certnew.cer
В результате импорта Exchange 2007 покажет вам отпечаток сертификата:
2FF1AB2A04C03480387D93175F939120CC855E4F
Можно «запомнить» данное значения для легкости дальнейшего поиска и работы с сертификатом.
Теперь включаем данный сертификат в работу на требуемые службы в нашем случае это IIS и SMTP.
Enable-ExchangeCertificate 2FF1AB2A04C03480387D93175F939120CC855E4F -Services IIS,SMTP
Теперь можно экспортировать сертификат для передачи его на ISA Server.
Эту операцию можно сделать через оснастку «Сертификаты» в MMC, либо командлетом PowerShell
Export-ExchangeCertificate C84F388FB0A141CB4464B45A8AFC4F185FE3A5C1
-Password P@ssw0rd -Path d:\exch-for-isa.pfx
Или так:
Export-ExchangeCertificate -Thumbprint 5D9B20836F6B559C1621EF18EE884E26CD524220 -BinaryEncoded:$true -Path c:\For-isa-export.pfx -Password:(Get-Credential).password
Если вы будете делать экспорт сертификата средствами консоли MMC не забудьте снять галочку «Включить усиленную защиту ключа».
Перенос сертификата на ISA Server 2006
Здесь все гораздо проще. Открываем консоль MMC — Сертификаты — Локальный компьютер. Импортируем полученный сертификат, не ставя галочку об усиленной защите ключа и помечаем его экспортируемым.
После этого открываем консоль управления ISA Server 2006 и открываем свойства соответствующего Web-Listener (Прослушиватель) на вкладке Сертификат нажимаем Выбор сертификата. В открывшемся окне должны присутствовать оба сертификата — старый и новый. Их легко отличить по дате выпуска и сроку завершения.
Выбираем новый сертификат и нажимаем выбрать. Применяем новую политику ISA Server.
Теперь все должно работать. После выполнения всех необходимых проверок можно старый сертификат удалить.
Статья взята и продублирована, для сохранения столь полезной инфы на просторах инета.
Ссылка на оригинальную статью: Блог Дмитрия Юзепчука