Настройка SSL-сертификатов для использования нескольких имен узлов серверов клиентского доступа

Статья
05/13/2016

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2012-07-23

Для настройки сертификатов SSL (Secure Sockets Layer) на использование нескольких имен узлов можно использовать командную консоль.

При развертывании серверов клиентского доступа Microsoft Exchange Server 2010 необходимо убедиться, что все клиенты, такие как Microsoft Office Outlook Web App и Office Outlook 2007, смогут подключаться к службам, используя зашифрованный сеанс без получения сообщения об ошибке, связанной с тем, что сертификат не является доверенным.

С помощью командной консоли можно создать запрос на сертификат на включение всех имен узлов DNS для серверов клиентского доступа. Затем пользователям разрешается подключение к сертификату для таких служб, как Outlook Anywhere, Autodiscover, POP3 и IMAP4 или единая система обмена сообщениями, которые перечислены в атрибуте альтернативных имен. Например, пользователи могут подключиться к службам Exchange, указав имя, как показано в следующих примерах:

https://сервер_клиентского доступа_01/owa
https://сервер_клиентского доступа_01.имя_FQDN.имя/owa
https://Имя_интрасети_сервера_клиентского_доступа/owa
https://autodiscover.домен_электронной_почты.com

Вместо того, чтобы требовать несколько сертификатов и поддерживать конфигурацию нескольких IP-адресов и веб-сайтов служб IIS для каждого сочетания IP-порта и сертификата, можно создать единый сертификат, который дает возможность клиентам успешно подключаться к каждому имени узла с помощью SSL или Transport Layer Security (TLS).

Единый сертификат можно создать, добавив все возможные значения имен DNS к свойству сертификата Subject Alternative Name в запросе на сертификат. Центр сертификации служб сертификатов Windows должен создать сертификат для такого запроса.

Примечание.
Сторонние центры сертификации или интернет-центры сертификации выпустят сертификаты только для тех DNS-имен, для которых имеется авторизация. Таким образом, DNS-имена интрасети, скорее всего, не будут разрешены.

Настройка SSL-сертификатов для использования нескольких имен узлов серверов «Клиентский доступ»

С помощью командлета New-ExchangeCertificate создайте файл запроса сертификата.
Отправьте этот файл в центр сертификации служб сертификатов Windows и воспользуйтесь шаблоном веб-сервера на странице Центр сертификации. Это приведет к .cer-файлу, который можно импортировать на сервер «Клиентский доступ».
С помощью командлета Get-ExchangeCertificate определите отпечаток для вашего сертификата.
После импорта сертификата его можно назначить для служб IIS, IMAP4 и POP3 с помощью командлета Enable-ExchangeCertificate.

Необходимы сведения о других задачах управления, связанных с использованием протокола SSL? См. раздел Управление протоколом SSL на сервере клиентского доступа.

Предварительные условия

Выполнен вход в систему компьютера с помощью учетной записи, которая не входит в группу администраторов, а затем с использованием прав администратора запущен диспетчер служб IIS с помощью команды runas. Это является наилучшим способом обеспечения безопасности. Для этого в командной строке введите runas /user:Имя_учетной_записи_администратора"mmc systemroot\system32\inetsrv\iis.msc".
Прочитан раздел Функции TLS и соответствующая терминология в Exchange 2010. Здесь приведена информация о многих переменных, которые необходимо учитывать при настройке сертификатов для служб SSL или TLS, и описано, как эти переменные могут влиять на всю конфигурацию.

Использование командной консоли для создания файла с запросом на сертификат

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Параметры безопасности сервера клиентского доступа» в разделе Разрешения клиентского доступа.

В этом примере создается текстовый файл, содержащий запрос на сертификат в формате PKCS#10.

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

Использование командной консоли для импорта сертификата

В этом примере выполняется импорт ранее полученного сертификата.

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Использование командной консоли для определения отпечатка сертификата

В этом примере определяется отпечаток сертификата, который соответствует имени узла CAS01.

Get-ExchangeCertificate -DomainName "CAS01"

Примечание.
В этом примере показано получение нескольких сертификатов в том случае, если существует несколько сертификатов, соответствующих указанному имени узла. Таким образом, необходимо убедиться, выбран отпечаток верного сертификата для вашего запроса.

В этом примере показано получение нескольких сертификатов в том случае, если существует несколько сертификатов, соответствующих указанному имени узла. Таким образом, необходимо убедиться, выбран отпечаток верного сертификата для вашего запроса.

Использование командной консоли для назначения сертификата службам IIS, POP3 и IMAP4

В этом примере выполняется назначение сертификата службам IIS, POP3 и IMAP4.

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

В этом примере выполняется назначение сертификата для сервера, который, в свою очередь, назначает сертификат всем службам, запускаемым на сервере Exchange.

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Дополнительные сведения о синтаксисе и параметрах командлетов Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate и New-ExchangeCertificate см. в разделе Глобальные командлеты.