Import or install a certificate on an Exchange server

  • Статья

Чтобы включить шифрование для одной или нескольких служб Exchange, сервер Exchange должен использовать сертификат. Обмен данными SMTP между внутренними серверами Exchange шифруется с помощью самозаверяющего сертификата по умолчанию, установленного на сервере Exchange Server. Чтобы зашифровать обмен данными с внутренними или внешними клиентами, серверами или службами, скорее всего, потребуется использовать сертификат, которому автоматически доверяют все клиенты, службы и серверы, которые подключаются к вашей организации Exchange. Дополнительные сведения см. в статье Требования к сертификатам для служб Exchange.

Вы можете импортировать (установить) сертификаты на серверах Exchange в Центре администрирования Exchange (EAC) или в командной консоли Exchange.

На сервере Exchange можно импортировать следующие типы файлов сертификатов:

  • Файлы сертификатов PKCS #12. Это двоичные файлы сертификатов, которые имеют расширения .cer, CRT, .der, .p12 или PFX и требуют пароля, если файл содержит закрытый ключ или цепочку доверия. Ниже приведены примеры таких типов файлов:

    • Самозаверяющие сертификаты, экспортированные с других серверов Exchange с помощью Центра администрирования Exchange или Export-ExchangeCertificate со значением $trueпараметра PrivateKeyExportable . Дополнительные сведения см. в статье Export a certificate from an Exchange server.

    • Сертификаты, выданные центром сертификации (внутренний ЦС, например службы сертификатов Active Directory, или коммерческий ЦС).

    • Сертификаты, экспортированные с других серверов (например, Skype для бизнеса Server).

  • Файлы сертификатов PKCS #7. Это текстовые файлы сертификатов с расширениями P7B или P7C. Эти файлы содержат текст: -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- или -----BEGIN PKCS7----- и -----END PKCS7-----. Вместе с двоичным файлом сертификата центр сертификации может отправить вам файл цепочки сертификатов, который также необходимо установить.

Примечание.

Задачи управления сертификатами удаляются из EAC для Exchange Server 2016 CU23 и Exchange Server 2019 CU12. Используйте процедуру командной консоли Exchange для экспорта или импорта сертификата из этих версий.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 5 минут.

  • В EAC необходимо импортировать файл сертификата из UNC-пути (\\<Server>\<Share>\ или \\<LocalServerName>\c$\). В командной консоли Exchange вы можете указать локальный путь.

  • В Центре администрирования Exchange можно импортировать файл сертификата на несколько серверов Exchange одновременно (шаг 4 в процедуре).

  • Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Безопасность служб клиентского доступа" в разделе Разрешения клиентов и мобильных устройств .

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Использование Центра администрирования Exchange для импорта сертификата на одном или нескольких серверах Exchange

  1. Откройте EAC и перейдите в раздел Сертификаты серверов>.

  2. В списке Выбор сервера выберите сервер Exchange Server, на котором требуется установить сертификат, щелкните значок Дополнительные параметрыЗначок Дополнительные параметры и выберите Импорт сертификата Exchange.

  3. Запустится мастер Импорт сертификата Exchange. На странице Этот мастер импортирует сертификат из файла введите следующую информацию:

    • Файл для импорта: введите UNC-путь и имя файла сертификата. Пример: \\FileServer01\Data\Fabrikam.cer

    • Пароль. Если файл сертификата содержит закрытый ключ или цепочку доверия, файл защищен паролем. Введите пароль в это поле.

    По завершении нажмите кнопку Далее.

  4. На странице Укажите серверы, к которым требуется применить этот сертификат, щелкнитедобавить значок Добавить.

    На открывшейся странице Выберите сервер выберите сервер Exchange, на который необходимо установить сертификат, и нажмите Добавить - >. Повторите этот шаг нужное количество раз. Завершив выбор серверов, нажмите кнопку ОК.

    Закончив, нажмите кнопку Готово. Дальнейшие действия см. в разделе Дальнейшие действия.

Импорт сертификата на сервер Exchange Server с помощью командной консоли Exchange

Чтобы импортировать файл сертификата, используйте следующий синтаксис:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Этот синтаксис используется со следующими типами файлов сертификатов:

  • Двоичные файлы сертификатов (файлы PKCS #12 с расширениями .cer, CRT, .der, .p12 или PFX).
  • Цепочка файлов сертификатов (текстовые файлы PKCS No 7 с расширениями P7B или P7C).

В этом примере импортируется файл \\FileServer01\Data\Fabrikam.pfx сертификата, защищенный паролем P@ssw0rd1 на локальном сервере Exchange Server. Вам будет предложено ввести пароль.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)

В этом примере импортируется файл \\FileServer01\Data\Chain of Certificates.p7bцепочки сертификатов .

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Подробные сведения о синтаксисе и параметрах см. в разделе Import-ExchangeCertificate.

Примечания.

  • Эту процедуру необходимо повторить на каждом сервере Exchange Server, где требуется импортировать сертификат (выполните команду на сервере или используйте параметр Server ).
  • Параметр FileData принимает локальные пути, если файл сертификата находится на сервере Exchange Server, где выполняется команда, и это тот же сервер, на котором требуется импортировать сертификат. В противном случае используйте UNC-путь.
  • Если вы хотите экспортировать сертификат с сервера, на который вы его импортируете, необходимо использовать параметр PrivateKeyExportable со значением $true.

Как проверить, все ли получилось?

Чтобы убедиться, что сертификат успешно импортирован (установлен) на сервере Exchange Server, выполните одно из следующих действий:

  • В центре администрирования Exchange в разделе Сертификаты серверов> убедитесь, что выбран сервер, на котором установлен сертификат. Сертификат должен быть в списке сертификатов и иметь статусДействительный.

  • В командной консоли Exchange на сервере, где установлен сертификат, выполните следующую команду:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Дальнейшие действия

После установки сертификата на сервере необходимо назначить сертификат одной или нескольким службам Exchange, прежде чем сервер Exchange сможет использовать сертификат для шифрования. Дополнительные сведения см. в статье Назначение сертификатов Exchange Server службам.