Устанавливаем Exchange 2013/2016. Часть 4 – устанавливаем сертификат

Очередной шаг в установке Exchange Server. В отличие от предыдущих этапов установки, этот будет совсем небольшой. Но от этого он не становится менее значим. Наоборот, установка сертификата — один из самых важных этапов в установке Exchange Server. В этой части я рассмотрю принцип установки сертификата и те тонкости, которые необходимо учесть именно при его установке.

Все статьи серии:

Поскольку Exchange 2016 мало чем отличается от Exchange 2013, то данное руководство можно применять как для Exchange 2013, так и для Exchange 2016 – такие статьи будут иметь в названии “Exchange 2013/2016”. Если же отличия будут существенные, то их я буду оформлять в отдельные части.

Устанавливаем Exchange 2013. Часть 1 – подготовка Active Directory
Устанавливаем Exchange 2013. Часть 2 – установка Exchange

Устанавливаем Exchange 2013. Часть 3 – допиливаем ОС
Устанавливаем Exchange 2013/2016. Часть 4 – устанавливаем сертификат
Устанавливаем Exchange 2013. Часть 5 – настраиваем CAS
Устанавливаем Exchange 2013. Часть 6 – создаем DAG
Устанавливаем Exchange 2013. Часть 7 – настраиваем AutoReseed


Немного теории

При установке Exchange Server по умолчанию для всех веб служб устанавливается самоподписанный сертификат. В целом все будет работать и с этим сертификатом, необходимо лишь распространить его на мобильные устройства и компьютеры пользователей.

Более “правильным” будет использование сертификата, который будет выдан либо корпоративным центром сертификации, либо публичным центром сертификации. В идеале, конечно же, лучше всего использовать сертификат, который будет выдан публичным центром сертификации, т.к. этому сертификату будут доверять все мобильные устройства и компьютеры, так сказать, “из коробки”.

Тем не менее, какой бы центр сертификации вы не выбрали бы, процесс установки сертификата будет идентичным.


Планирование имен в сертификате

Очень немаловажный этап в установке Exchange. Если вы правильно спланируете список необходимых имен, то в последствии у вас будет меньше проблем при подключении пользователей и будет проще управление сертификатами для Exchange. Этап планирования имен хорошо описан в следующей статье (Certificate Planning in Exchange 2013), которая подходит и для Exchange 2016.


Установка сертификата

После того, как вы получили сертификат от публичного или от корпоративного центра сертификации, его первым делом необходимо сохранить в надежном месте :)


Существует 2 способа установить сертификат на CAS сервер: через EAC и через EMS.

Для первого способа необходимо перейти EAC –> Servers –> Certificates и в списке серверов выбираем необходимый CAS сервер. В данном случае – выбираем любой.

image


Далее нажимаем “…” и выбираем пункт “Import Exchange Certificate”.

В появившемся окне в первое поле вводим путь к сертификату и во втром поле – пароль к нему.

image


Обратите внимание, что путь к сертификату задается в формате UNC


В следующем окне нам предстоит выбрать CAS сервера, на которые необходимо установить этот сертификат.

Это очень важный момент. На все CAS сервера, которые будут в одном пуле балансировки (NLB для Exchange 2013, или железный балансировщик для 2013/2016, или в самом крайнем случае DNS Round Robin) должен быть установлен ОДИН И ТОТ ЖЕ сертификат.

Зачем? Все дело в том, что, когда несколько CAS серверов находятся в одном пуле балансировки, запросы клиентов могут приходить на любой из CAS серверов (т.е. не требуется session affinity от балансировщика — Load Balancing in Exchange 2013). А значит, чтобы у клиентов не было бы постоянных запросов паролей, каждый CAS сервер должен уметь расшифровывать запросы от клиентов в случае, когда один из CAS серверов выходит из строя. Это и достигается за счет того, что на всех CAS серверах в пуле балансировки используется один и тот же сертификат, а значит каждый CAS будет знать закрытый ключ этого сертификата и спокойно расшифровывать запросы.


Далее необходимо установленный сертификат “привязать” к нужным службам. В большинстве случаев, достаточно лишь “привязать” к службе IIS. С точки зрения IIS, вся это процедура просто напросто устанавливает указанный сертификат для сайта “Default Web Site”.

Делается это следующим образом: заходим в EAC –> Servers –> Certificates и для каждого (!!!) CAS сервера выполняем следующее. Из списка выбираем установленный сертификат и нажимает кнопку редактирования. Переходим в пункт “Services”, ставим галку напротив пункта IIS и нажимаем “Save”.

image



Бонус

Чтобы проверить, есть ли на всех CAS серверах требуемый сертификат и назначен ли он службе IIS, можно воспользоваться следующей командой:

Get-ClientAccessServer | ft Name, @{n='CertThumbprint';e={Get-ExchangeCertificate -Server $_.Name | ? Services -like "*IIS*" | select -ExpandProperty Thumbprint}}

Name                                                        CertThumbprint
----                                                        --------------
EX2013SRV01                                                 6EF4242BD79F6D26665AED5FBDF616E3FBEBAA31
EX2013SRV02                                                 5E2274F419A0EE5875EBC86AD69F9049B397B52C

Правильным результатом этой команды будет совпадение Thumbprint для всех CAS серверов. В моем случае, сертификаты разные, т.к. я еще его не устанавливал :)




Читайте также:

комментария 4

  1. Anonymous:

    По-моему больше всего вопросов вызывают имена в сертификате, а мастер создания CSR лишь усугубляет дело, пихая туда всё подряд.
    В небольшой инфраструктуре нужно только основное имя сервера mail.domain.tld. Даже autodiscover.domain.tld можно не делать, вместо этого проксировав папку /autodiscover на веб-сервере https://domain.tld до Exchange. Благодаря этому Outlook станет быстрее определять настройки из внешней сети (зависит от граничного файрвола).

    А с 16 ноября заработает Let’s Encrypt, где можно бесплатно выпустить сертификат с SAN, которому все доверяют и OCSP находится не в Китае.

  2. Anonymous:

    Кстати, вы не в курсе нюансов использования wildcard-сертификатов?
    В документации написано только про «Set-{Imap|Pop}Settings -X509CertificateName», но где-то ещё пишут про «Set-OutlookProvider» для совместимости с XP. Хотелось бы понять, что из этого нужно и для чего.

  3. Александр:

    Создал новый сертификат, с сервера с которого создавал запрос — сертификат установился, а на второй сервер, сертификат импортировал, но в сертификатах он не отображается. Подскажите пожалуйста, в чем причина? Оба сервера в DAG.
    Спасибо.

Добавить комментарий