Configurazione dei certificati SSL per l'utilizzo di più nomi host del server Accesso client

Articolo
05/13/2016

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2012-07-23

È possibile utilizzare Shell per configurare i certificati SSL (Secure Sockets Layer) in modo da poter utilizzare più nomi host.

Quando si distribuiscono i server Accesso client di Microsoft Exchange Server 2010, è necessario verificare che tutti i client, ad esempio Microsoft Office Outlook Web App e Office Outlook 2007, saranno in grado di connettersi ai servizi utilizzando una sessione crittografata senza ricevere un messaggio di errore che indica la non attendibilità del certificato.

Utilizzando Shell, è possibile creare una richiesta di certificato per includere tutti i nomi host DNS dei server Accesso client. Quindi, è possibile consentire agli utenti di connettersi al certificato per i servizi, quali Outlook Anywhere, Individuazione automatica, POP3 e IMAP4 o Messaggistica unificata, elencati negli attributi dei nomi alternativi. Gli utenti, ad esempio, potrebbero essere in grado di connettersi ai servizi di Exchange specificando il nome come illustrato nell'esempio seguente:

https://CAS01/owa
https://nome.FQDN.CAS01/owa
https://NomeIntranetCAS/owa
https://autodiscover.dominiopostaelettronica.com

Anziché dover richiedere più certificati e mantenere la configurazione di più indirizzi IP e siti Web di Internet Information Services (IIS) per ciascuna porta IP e combinazione di certificati, è possibile creare un singolo certificato che consente ai client di connettersi a ciascun nome host utilizzando SSL o TLS (Transport Layer Security).

È possibile creare un singolo certificato aggiungendo tutti i possibili valori del nome DNS alla proprietà del certificato Subject Alternative Name nella richiesta del certificato. Per questa richiesta deve essere creato un certificato da un'autorità di certificazione Servizi certificati basata su Windows.

Nota

Le autorità di certificazione di terze parti o basate su Internet emetteranno i certificati solo per i nomi DNS per i quali si è autorizzati. Di conseguenza, i nomi DNS Intranet molto probabilmente non saranno consentiti.

Per configurare il certificato SSL per utilizzare più nomi host del server Accesso client, procedere come segue:

Il cmdlet New-ExchangeCertificate consente di creare un file di richiesta del certificato.
Inviare il file a un'autorità di certificazione Servizi certificati di Windows e utilizzare il modello server Web sulla pagina Autorità di certificazione. Il file sarà in formato CER e potrà essere importato nel server Accesso client.
Il cmdlet Get-ExchangeCertificate consente di determinare l'identificazione digitale per il certificato.
Dopo aver importato il certificato, è possibile assegnarlo a IIS, IMAP4 e POP3 utilizzando il cmdlet Enable-ExchangeCertificate.

Per informazioni sulle altre attività di gestione relative a SSL, vedere Gestione di SSL per un server Accesso client.

Prerequisiti

È stato eseguito l'accesso al computer utilizzando un account non appartenente al gruppo Administrators ed è stato utilizzato il comando runas per eseguire Gestione IIS come amministratore. Si tratta di una protezione ottimale. Per eseguire l'operazione, nel prompt dei comandi, digitare **runas /user:**NomeAccount_Amministrativo "mmc systemroot\system32\inetsrv\iis.msc".
È stato letto Funzionalità TLS e relativa terminologia in Exchange 2010. In questo argomento sono incluse le informazioni sulle variabili che è necessario considerare quando si configurano i certificati per i servizi SSL o TLS e informazioni su come tali variabili possono avere impatto sulla configurazione.

Creazione di un file di richiesta del certificato tramite Shell

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Impostazioni di sicurezza del server Accesso client" nell'argomento Autorizzazioni di accesso client.

In questo esempio viene creato un file di testo contenente una richiesta di certificato nel formato PKCS#10.

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

Importazione di un certificato tramite Shell

In questo esempio viene importato un certificato ottenuto in precedenza.

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Utilizzo di Shell per determinare l'identificazione personale del certificato

In questo esempio viene determinata l'identificazione personale di un certificato che corrisponde al nome host CAS01.

Get-ExchangeCertificate -DomainName "CAS01"

Nota

In questo esempio verranno restituiti più certificati se sono presenti diversi certificati che corrispondono al nome host specificato. Pertanto, assicurarsi di selezionare l'identificazione digitale del certificato corretto per la richiesta.

Assegnazione del certificato a IIS, POP3 e IMAP4 tramite Shell

In questo esempio viene assegnato il certificato a IIS, POP3 e IMAP4.

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

In questo esempio viene assegnato il certificato al server, che a sua volta lo assegna a tutti i servizi in esecuzione sul server Exchange.

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Per ulteriori informazioni sulla sintassi e sui parametri per i cmdlet Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate e New-ExchangeCertificate, vedere Cmdlet globali.