Настройка сертификатов Exchange

 

Предполагаемое время выполнения: 10 минут

Цифровые сертификаты необходимы для обеспечения безопасности соединений между локальными серверами Exchange 2016, клиентами и Office 365. Вам необходимо получить сертификат, который будет установлен на серверах почтовых ящиков и пограничных транспортных серверах, из доверенного стороннего центра сертификации (ЦС). Для защиты внутренних соединений между локальными серверами почтовых ящиков Exchange 2016 используются самозаверяющие сертификаты. Рекомендуем, чтобы общее имя сертификата совпадало с основным доменом SMTP для организации.

Дополнительные сведения см. в разделе Требования к сертификатам для гибридных развертываний

Прежде чем сертификаты можно будет настроить на серверах Exchange, необходимо получить сертификат из доверенного ЦС. Если необходимо создать запрос на новый сертификат, который будет использоваться для гибридного развертывания, выполните указанные ниже действия на сервере почтовых ящиков Exchange 2016.

  1. Откройте Центр администрирования Exchange, перейдя по адресу https://<FQDN of Mailbox server>/ECP.

  2. Введите имя пользователя и пароль в полях Домен\Имя пользователя и Пароль и щелкните Вход.

  3. Откройте раздел Серверы > Сертификаты. Убедитесь, что на странице Сертификаты в поле Выберите сервер выбран сервер почтовых ящиков Exchange 2016 с выходом в Интернет, а затем нажмите кнопку Добавить Значок добавления.

  4. В мастере создания сертификата Exchange выберите параметр Создать запрос на сертификат из центра сертификации и нажмите Далее.

  5. Укажите имя для этого сертификата, а затем щелкните Далее. Например, "contoso.com".

  6. Чтобы запросить сертификат с подстановочным знаком, выберите Запросить сертификат с подстановочным знаком, а затем укажите корневой домен всех поддоменов в поле Корневой домен. Если не требуется запрашивать сертификат с подстановочным знаком, а вместо этого необходимо указать каждый домен, который нужно добавить к сертификату, оставьте эту страницу незаполненной. Нажмите кнопку Далее.

  7. Нажмите кнопку Обзор и укажите сервер Exchange, на котором будет храниться сертификат. Выбранный сервер должен быть сервером почтовых ящиков Exchange 2016 с выходом в Интернет. Нажмите кнопку Далее.

  8. Для каждой службы в списке укажите имена внешних или внутренних серверов, с помощью которых пользователи будут подключаться к серверу Exchange. Например, для Outlook Web App (при доступе из Интернета) необходимо указать сервер owa.contoso.com. Для OWA (при доступе из интрасети) необходимо указать internal.corp.contoso.com. Эти домены будут использоваться для создания запроса на SSL-сертификат. Нажмите кнопку Далее.

    ВажноВажно!
    Также рекомендуется, чтобы общее имя сертификата соответствовало названию основного домена SMTP для организации. Убедитесь, что в качестве общего имени сертификата назначено название основного домена SMTP. Например, выберите домен "contoso.com" и щелкните значок флажка.
  9. {#Text:E16ADFSBullet1#}

    Добавьте в сертификат полное доменное имя сервера веб-прокси AD FS. Например, если полное доменное имя сервера веб-прокси AD FS — sts.contoso.com, добавьте это имя в сертификат.

  10. Добавьте дополнительные домены, которые требуется включить в SSL-сертификат. Если гибридное развертывание включает пограничный транспортный сервер, добавьте его внешнее полное доменное имя, например edge.contoso.com. Нажмите кнопку Далее.

  11. Предоставьте информацию о вашей организации. Эта информация будет включена в SSL-сертификат. Нажмите кнопку Далее.

  12. Укажите сетевое расположение, где будет сохранен этот запрос сертификата. Нажмите кнопку Готово.

Получив сертификат из доверенного ЦС, выполните указанные ниже действия на сервере Exchange 2016, чтобы импортировать сертификат и настроить службы Exchange для его использования для гибридного развертывания. Кроме того, необходимо импортировать сертификат на серверы почтовых ящиков и назначить службы Exchange:

  1. На странице Сервер > Сертификаты Центра администрирования Exchange выберите сервер почтовых ящиков Exchange 2016 с выходом в Интернет и запрос на сертификат, созданный на предыдущих этапах.

  2. В области сведений о запросе сертификата щелкните Завершено в разделе Состояние.

  3. На странице выполнения ожидающего запроса укажите путь к файлу SSL-сертификата и нажмите ОК.

  4. Выберите новый сертификат, который вы только что добавили, а затем щелкните ПравкаЗначок редактирования.

  5. На странице сертификата щелкните Службы.

  6. Выберите службы, которые необходимо назначить данному сертификату. Как минимум необходимо выбрать SMTP и IIS. Нажмите кнопку Сохранить.

  7. Если возникает предупреждение Перезаписать существующий сертификат SMTP по умолчанию?, щелкните Нет.

Чтобы импортировать сертификат на другие серверы почтовых ящиков и назначить службы Exchange, сделайте следующее:

  1. На странице Сервер > Сертификаты в Центре администрирования Exchange выберите другой сервер почтовых ящиков Exchange 2016.

  2. Щелкните Дополнительные функцииЗначок дополнительных параметров и выберите Импортировать сертификат Exchange.

  3. Введите путь к файлу сертификата, который был настроен для гибридного развертывания.

  4. Введите пароль для сертификата.

  5. Нажмите кнопку Далее.

  6. Нажмите Значок добавления.

  7. Выберите серверы почтовых ящиков и щелкните Добавить, а затем — ОК.

  8. Нажмите кнопку Готово.

  9. После того как сертификат будет импортирован и отображен в списке, выберите сертификат и щелкните Редактировать Значок редактирования.

  10. В свойствах сертификата выберите Службы.

  11. Установите флажок SMTP и щелкните Сохранить.

Успешное завершение работы мастеров создания сертификата Exchange, импорта и назначения служб будет первым признаком правильного импорта сертификата и назначения служб.

Кроме того, чтобы убедиться в успешном импорте сертификата, выполните в командной консоли Exchange на сервере Exchange следующую команду. Она позволит просмотреть список сертификатов в локальном хранилище и перечень служб, которым назначен сертификат.

Get-ExchangeCertificate |fl

Вы должны увидеть в списке сертификатов Exchange, возвращаемых командлетом Get-ExchangeCertificate, установленный сертификат, включая отпечаток сертификата службы, назначенный этому сертификату. Убедитесь в том, что сертификат стороннего доверенного ЦС, используемый для гибридного развертывания, отвечает следующим условиям.

  • В атрибуте Service указаны службы IIS и SMTP.

  • Атрибут Status имеет значение "Valid".

  • Атрибут RootCAType указан как "ThirdParty".

Если любое из этих трех условий не соблюдается, использовать сертификат в мастере гибридной конфигурации или самом гибридном развертывании невозможно.

Возникли проблемы? Обратитесь за помощью к участникам форума Office 365. Для получения доступа к форуму необходимо войти в систему, используя учетную запись с правами администратора на доступ к облачной службе. Посетите форумы на странице форумов Office 365.

 
Показ: