Настройка сертификатов Exchange 2016

 

Предполагаемое время выполнения: от 10 до 15 минут (не включая время отклика из центра сертификации)

Для работы некоторых служб, таких как мобильный Outlook и Exchange ActiveSync, необходимо настроить сертификаты на сервере Exchange 2016. Вы можете повторно использовать SSL-сертификат, установленный на существующем сервере Exchange, или приобрести новый SSL-сертификат в стороннем центре сертификации (ЦС). В случае повторного использования сертификата имена узлов, настраиваемые в виртуальных каталогах Exchange 2016, должны соответствовать именам узлов, настроенным в этом SSL-сертификате.

  1. Откройте Центр администрирования Exchange. Для этого перейдите по URL-адресу вашего сервера почтовых ящиков (например, https://Ex2016/ECP).

  2. Введите имя пользователя и пароль в полях Домен\Имя пользователя и Пароль и щелкните Вход.

  3. Откройте раздел Серверы > Сертификаты. На странице Сертификаты убедитесь, что в поле Выбор сервера выбран ваш сервер почтовых ящиков, а затем щелкните СоздатьЗначок добавления.

  4. В мастере создания сертификата Exchange выберите параметр Создать запрос на сертификат из центра сертификации и нажмите кнопку Далее.

  5. Укажите имя для этого сертификата, а затем нажмите кнопку Далее.

  6. Чтобы запросить сертификат с подстановочным знаком, выберите Запросить сертификат с подстановочным знаком, а затем укажите корневой домен всех поддоменов в поле Корневой домен. Если не требуется запрашивать сертификат с подстановочным знаком, а вместо этого необходимо указать каждый домен, который нужно добавить к сертификату, оставьте эту страницу незаполненной. Нажмите кнопку Далее.

  7. Щелкните Обзор и укажите сервер Exchange для хранения сертификата. Выбранный сервер должен быть сервером почтовых ящиков с выходом в Интернет. Нажмите кнопку Далее.

  8. Для каждой службы в указанном ниже списке проверьте правильность внешних или внутренних имен сервера, которые будут использоваться пользователями для подключения к серверу Exchange. Примеры приведены ниже.

    • Если внутренний и внешний URL-адреса совпадают, в Outlook Web App (при доступе через Интернет) и Outlook Web App (при доступе через интрасеть) будет показан адрес owa.contoso.com. В автономной адресной книге (при доступе через Интернет) и автономной адресной книге (при доступе через интрасеть) будет показан адрес mail.contoso.com.

    • Если заданы внутренние URL-адреса формата internal.contoso.com, в Outlook Web App (при доступе через Интернет) будет показан адрес owa.contoso.com, а в Outlook Web App (при доступе через интрасеть) — адрес internal.contoso.com.

    Эти домены будут использоваться при создании запроса SSL-сертификата. Нажмите кнопку "Далее".

  9. Добавьте все дополнительные домены, которые необходимо включить в SSL-сертификат.

  10. Выберите домен, который будет общим именем для сертификата (например, contoso.com), и щелкните Установить как общее имя. Нажмите кнопку Далее.

  11. Предоставьте информацию о вашей организации. Эта информация будет включена в SSL-сертификат. Нажмите кнопку Далее.

  12. Укажите сетевое расположение, где будет сохранен этот запрос сертификата. Нажмите кнопку Готово.

После сохранения запроса сертификата отправьте запрос в центр сертификации (ЦС). Это может быть внутренний ЦС или сторонний ЦС в зависимости от политики организации. Клиенты, которые подключаются к серверу почтовых ящиков, должны доверять используемому ЦС. После получения сертификата из ЦС сделайте следующее:

  1. На странице Сервер > Сертификаты в EAC выберите запрос сертификата, созданный на предыдущих шагах.

  2. В области сведений о запросе сертификата в разделе Состояние щелкните Завершено.

  3. На странице Выполнение ожидающего запроса укажите путь к файлу SSL-сертификата и нажмите кнопку ОК.

  4. Выберите новый сертификат, который вы только что добавили, а затем щелкните ПравкаЗначок редактирования.

  5. На странице сертификата щелкните Службы.

  6. Выберите службы, которые необходимо назначить этому сертификату. Как минимум, необходимо выбрать IIS, но можно также выбрать IMAP, POP и Маршрутизатор вызовов единой системы обмена сообщениями, если эти службы используются. Если планируется использовать защищенную транспортировку, то можно также выбрать SMTP, чтобы этот сертификат был доступен для транспортировки Exchange 2016. Нажмите кнопку Сохранить.

  7. Если возникает предупреждение Перезаписать существующий сертификат SMTP по умолчанию?, щелкните Да.

Для начало необходимо экспортировать сертификат вместе с его закрытым ключом с имеющегося сервера Exchange, выполнив указанные ниже действия.

  1. Войдите непосредственно на имеющийся сервер клиентского доступа Exchange с использованием учетной записи администратора.

  2. Откройте пустую консоль управления (MMC).

  3. В меню Файл выберите команду Добавить/удалить оснастку.

  4. В окне Добавление или удаление оснасток выберите пункт Сертификаты и нажмите кнопку Добавить >.

  5. В появившемся окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  6. Выберите пункт Локальный компьютер и нажмите кнопку Готово. Затем нажмите кнопку ОК.

  7. В разделе Корень консоли последовательно разверните узлы Сертификаты (локальный компьютер), Личные и Сертификаты.

  8. Выберите сторонний сертификат, используемый Exchange, который соответствует именам узлом, настроенным на сервере Exchange 2016. Это должен быть сторонний, но не самозаверяющий сертификат.

  9. Щелкните сертификат правой кнопкой мыши, выберите пункт Все задачи и нажмите кнопку Экспорт.

  10. В мастере экспорта сертификатов нажмите кнопку Далее.

  11. Выберите пункт Да, экспортировать закрытый ключ и нажмите кнопку Далее.

    ВажноВажно!
    Вы должны иметь возможность экспортировать сертификат с сервера Exchange вместе с его закрытым ключом. Если доступ к закрытому ключу сертификата отсутствует, вы не сможете использовать этот сертификат на сервере Exchange 2016. Придется выполнить действия, приведенные в разделе "Процедура получения и установки стороннего SSL-сертификата", чтобы получить сертификат для сервера Exchange 2016.
  12. Убедитесь, что выбраны параметры Файл обмена личной информацией — PKCS #12 (PFX) и Включить по возможности все сертификаты в путь сертификата. Убедитесь, что другие параметры не выбраны. Нажмите кнопку Далее.

  13. Нажмите Пароль и введите пароль, чтобы улучшить защиту сертификата. Нажмите кнопку Далее.

  14. Укажите имя файла для нового сертификата. Используйте расширение PFX. Последовательно нажмите кнопки Далее и Готово.

  15. В случае успешного экспорта сертификата отобразится запрос подтверждения. Нажмите кнопку ОК, чтобы закрыть его.

  16. Скопируйте PFX-файл, созданный для вашего сервера почтовых ящиков Exchange 2016 с выходом в Интернет.

После экспорта сертификата с имеющегося сервера Exchange необходимо импортировать его на сервер Exchange 2016, выполнив указанные ниже действия.

  1. Войдите на сервер почтовых ящиков Exchange 2016 с выходом в Интернет с помощью учетной записи администратора.

  2. Откройте пустую оснастку MMC.

  3. В меню Файл выберите команду Добавить/удалить оснастку.

  4. В окне Добавление или удаление оснасток выберите пункт Сертификаты и нажмите кнопку Добавить >.

  5. В появившемся окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  6. Выберите пункт Локальный компьютер и нажмите кнопку Готово. Затем нажмите кнопку ОК.

  7. В разделе Корень консоли последовательно разверните узлы Сертификаты (локальный компьютер) и Личные.

  8. Щелкните правой кнопкой пункт Личные, выберите пункт Все задачи и нажмите кнопку Импорт.

  9. В Мастере импорта сертификата нажмите кнопку Далее.

  10. Нажмите кнопку Обзор и выберите PFX-файл, скопированный на сервер почтовых ящиков Exchange 2016. Нажмите кнопку Открыть, а затем кнопку Далее.

    ПримечаниеПримечание.
    Чтобы отобразить PFX-файл, может потребоваться изменить фильтр Имя файла в окне Открыть, выбрав Все файлы (*.*).
  11. В поле Пароль введите пароль, который вы задали для улучшения защиты сертификата при его экспорте на имеющийся сервер Exchange.

  12. Убедитесь, что флажок Включить все расширенные свойства установлен, а затем нажмите кнопку Далее.

  13. Убедитесь, что установлен флажок Поместить все сертификаты в следующее хранилище и что в разделе Хранилище сертификатов выбран пункт Личные. Нажмите кнопку Далее. Нажмите кнопку Готово.

  14. В случае успешного импорта сертификата отобразится запрос подтверждения. Нажмите кнопку ОК, чтобы закрыть его.

Теперь, когда новый сертификат импортирован на сервер почтовых ящиков Exchange 2016, необходимо назначить его службам Exchange, выполнив указанные ниже действия.

  1. Откройте Центр администрирования Exchange. Для этого перейдите по URL-адресу вашего сервера почтовых ящиков Exchange 2016 (например, https://Ex2016/ECP).

  2. Введите имя пользователя и пароль в полях Домен\Имя пользователя и Пароль, а затем нажмите кнопку Вход.

  3. На странице Сервер > Сертификаты в центре администрирования Exchange выберите только что добавленный новый сертификат, а затем нажмите Правка Значок редактирования.

  4. На странице сертификата щелкните Службы.

  5. Выберите службы, которые необходимо назначить этому сертификату. Как минимум, необходимо выбрать IIS, но можно также выбрать IMAP, POP и Маршрутизатор вызовов единой системы обмена сообщениями, если эти службы используются. Если планируется использовать защищенную транспортировку, то можно также выбрать SMTP, чтобы этот сертификат был доступен для транспортировки Exchange 2016. Нажмите кнопку Сохранить.

  6. Если возникает предупреждение Перезаписать существующий сертификат SMTP по умолчанию?, щелкните Да.

Чтобы убедиться, что вы успешно добавили новый сертификат, сделайте следующее:

  1. В центре администрирования Exchange последовательно выберите пункты Серверы > Сертификаты.

  2. Выберите новый сертификат и затем в области сведений убедитесь, что выполнены следующие условия:

    • в поле Состояние отображается значение Действительный;

    • в поле Назначен службам указана как минимум служба IIS, и возможно службы IMAP, POP, маршрутизатора вызовов единой системы обмена сообщениями и SMTP.

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

 
Показ: