Come configurare i certificati SSL per utilizzare più nomi host del server Accesso client

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-10-24

In questo argomento viene descritto come utilizzare Exchange Management Shell per configurare i certificati SSL (Secure Sockets Layer) per usare più nomi host.

Quando vengono distribuiti i computer che eseguono Microsoft Exchange Server 2007 in cui è installato il ruolo del server Accesso client, assicurarsi che i client, quali Outlook Web Access e Outlook 2007, saranno in grado di connettersi ai servizi utilizzando una sessione crittografata senza ricevere un messaggio di errore indicante che il certificato proviene da una Autorità di certificazione non disponibile nell’elenco locale.

Nota

Affinché Internet Security and Acceleration (ISA) Server possa gestire le connessioni SSL a Exchange 2007, è necessario includere il nome del soggetto del certificato come prima voce SAN quando si effettua la richiesta di un certificato da utilizzare in più server o con più nomi host.

Con Exchange Management Shell è possibile creare una richiesta di certificato per includere tutti i nomi host DNS dei server Accesso client. È possibile quindi abilitare gli utenti alla connessione al certificato per servizi quali Outlook via Internet, Individuazione automatica, POP3 e IMAP4 o la messaggistica unificata, elencati negli attributi dei nomi alternativi. Gli utenti, ad esempio, potrebbero essere in grado di connettersi ai servizi di Exchange specificando il nome come illustrato nell'esempio seguente:

Anziché dover richiedere più certificati e mantenere la configurazione di più indirizzi IP e siti Web di Internet Information Services (IIS) per ciascuna porta IP e combinazione di certificati, è possibile creare un singolo certificato che consente ai client di connettersi a ciascun nome host utilizzando SSL o TLS (Transport Layer Security).

È possibile creare un singolo certificato aggiungendo tutti i valori possibili dei nomi DNS alla proprietà del certificato Subject Alternative Name nella richiesta del certificato. Per questa richiesta dovrebbe essere creato un certificato da un'Autorità di certificazione Servizi certificati basata su Microsoft Windows. 

Nota

Le Autorità di certificazione di terze parti o basate su Internet emetteranno i certificati solo per i nomi DNS per i quali si è autorizzati. Pertanto i nomi DNS Intranet molto probabilmente non saranno consentiti.

Per configurare il certificato SSL per utilizzare più nomi host del server Accesso client, procedere come segue:

  1. Il cmdlet New-ExchangeCertificate consente di creare un file di richiesta del certificato.

  2. Inviare il file a un'Autorità di certificazione Servizi certificati di Windows e utilizzare il modello Server Web nella pagina Autorità di certificazione. Il file sarà in formato CER e potrà essere importato nel server Accesso client.

  3. Il cmdlet Get-ExchangeCertificate consente di determinare l'identificazione digitale per il certificato.

  4. Dopo aver importato il certificato, è possibile assegnarlo a IIS, IMAP4 e POP3 utilizzando il cmdlet Enable-ExchangeCertificate.

Informazioni preliminari

Per eseguire le procedure riportate di seguito, è necessario utilizzare un account che disponga della delega del ruolo Amministratore di Exchange sola visualizzazione.

Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Exchange 2007, vedere Considerazioni sulle autorizzazioni.

Importante

Prima di eseguire le procedure seguenti, è necessario leggere Gestione della protezione dell'accesso client.

Importante

A scopo di protezione, si consiglia di accedere al computer con un account non appartenente al gruppo Administrators e quindi utilizzare il comando runas per eseguire la Gestione IIS come amministratore. Al prompt dei comandi, digitare runas /user:NomeAccount_Amministrativo"mmc systemroot\system32\inetsrv\iis.msc".

Importante

È necessario considerare diverse variabili durante la configurazione dei certificati per i servizi SSL o TLS. È necessario comprendere in quale modo tali fattori influiscono sulla configurazione generale. Prima di procedere, leggere Creazione di un certificato o di una richiesta di certificato per TLS.

Procedura

Per utilizzare Exchange Management Shell per creare un file di richiesta del certificato

  1. Eseguire il comando riportato di seguito:

    New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt

    Con questo comando verrà creato un file di testo contenente una richiesta di certificato in formato PKCS#10.

Per utilizzare Exchange Management Shell per importare un certificato

  1. Eseguire il comando riportato di seguito:

    Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Per utilizzare Exchange Management Shell per determinare l'identificazione digitale del certificato

  1. Per determinare l'identificazione digitale, eseguire il comando riportato di seguito:

    Get-ExchangeCertificate -DomainName "CAS01"

Nota

Se sono presenti diversi certificati che corrispondono al nome host specificato, il comando restituirà più certificati. Pertanto, assicurarsi di selezionare l'identificazione digitale del certificato corretto per la richiesta.

Per utilizzare Exchange Management Shell per assegnare il certificato a IIS, POP3 e IMAP4

  1. Per assegnare il certificato a IIS, POP3 e IMAP4, eseguire il comando riportato di seguito:

    Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

  2. In alternativa, per assegnare il certificato a un server, che a sua volta assegnerà il certificato a tutti i servizi in esecuzione sul server Exchange, eseguire il comando riportato di seguito:

    Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Per ulteriori informazioni sulla sintassi e sui parametri dei cmdlet Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate e New-ExchangeCertificate vedere Cmdlet globali.

Ulteriori informazioni

Per ulteriori informazioni su come creare certificati o richieste di certificati per SSL o TLS, vedere Creazione di un certificato o di una richiesta di certificato per TLS.