22

Установка сертификата для OWA в Exchange 2010

Posted by admin on 14.12.2012 in Exchange 2010 |

При подключении к почте Exchange 2010 через веб-интерфейс (OWA) пользователи могут видеть сообщение об ошибке сертификата, которое их зачастую пугает либо вообще создает непонимание того, что происходит. Многое пользователи при этом обращаются в свою службу техподдержки, сообщая, что-то вроде следующего:
— У меня в эксплоере белая страница
— У меня почта не работает
— У меня интернет не работает
— У меня ничего не работает.

Чтобы избежать затрат времени на диагностику проблемы и снизить уровень негатива в адрес IT-подразделения компании можно настроить сертификацию и закрыть этот вопрос.

1. Установка центра сертификации в домене

На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»

Установка роли Центра сертификации 2008

Кнопка Next>

Установка роли Центра сертификации 2008

Кнопка Add Required Role Services

Отмечаем верхние 2 пункта (остальной по желанию)

Установка роли Центра сертификации 2008

Установка роли Центра сертификации 2008

Установка роли Центра сертификации 2008

Установка роли Центра сертификации 2008

Установка роли Центра сертификации 2008

Задаем срок действия сертификатов, выданных этим центром сертификации

Установка роли Центра сертификации 2008

2. Настройка центра сертификации

По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

и перезапустить службы сертификации:

net stop certsvc & net start sertsvc

3. Запрос сертификата для сервера Exchange 2010

В консоли управления Exchange Server 2010: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate

Запрос сертификата для сервера Exchanhe 2012

Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.

Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:

На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)

и устанавливаем оба флажка:
— Outlook Web App is on the Intranet
— Outlook Web App is on the Internet
Проверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.

Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установлен флажок Exchange Active Sync is enabled

Разворачиваем Client Access server (Web Services, Outlook Anywhere, and Autodiscover) и вводим то же имя для внешнего узла. Также должен быть установлен флажок Autodiscover used on the Internet и выбран параметр Long URL (Example: autodiscovet.contoso.com). В поле Autodiscovet URL to use: оставляем только autodiscover.<имянашегодомена>. Кнопка Next.

На странице Certificate Domains нажимаем кнопку Next

Заполняем страницу Organization and Location (можно кириллицей)

Нажимаем кнопку Browse, задаем имя файла (например, CertRequest) и сохраняем его. Завершаем создание сертификата

4. Получение сертификата из центра сертификации

Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl+A, Ctrl+C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.

На своем ПК (на клиентском ПК администратора) запускаем IE и вводим адрес http://dc01/certsrv, где dc01 – имя сервера, на котором установлен центр сертификации. В списке задач нажимаем ссылку Request a certificate (Запросить сертификат) и на следующей странице  advanced certificate request (Расширенный запрос сертификата). Выбираем самый длинный пункт Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. На следующей странице ставим курсор в поле SavedRequest: и нажимаем Ctrl+V. Т.е. вставляем содержимое файла CertRequest.req

В списке CertificateTemplateвыбираем Web Server и нажимаем кнопку Submit, затем ОК.

Получение сертификата из центра сертификации

Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске (например, под именем certnew.cer). После загрузки открываем его и проверяем, что на вкладке Details есть пункт Subject Alternative Name, который содержит несколько дополнительных имен.

5. Импорт и назначение сертификата

В консоли управления Exchange Server 2010: Server Configuration – выбираем свой сервер Exchange и в правой нижней области правый клик по вновь созданному пункту «Доменный сертификат Exchange» – Complete Pending Request (Выполнить ожидающий запрос).

Завершение ввода сертификата

На странице Complete Pending Request нажимаем кнопку Browse, находим на диске сертификат certnew.cer, загруженный из центра сертификации и импортируем его сюда.

Снова делаем правый клик по «Доменный сертификат Exchange» и выбираем пункт Assign Services to Certificate (Назначение служб сертификату). На сранице выбора серверов в списке должен быть указан наш сервер, для которого назначается сертификат.  На странице Select Services (Выбор служб) устанавливаем флажок IIS

Назначение служб для сертификата

Далее, назначить, готово.

 

6. Распространение сертификата

В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду

gpupdate /force

На компьютерах, не входящих в домен можно импортировать сертификат. Причем, желательно импортировать не конкретный сертификат службы, а сразу взять сертификат нашего центра сертификации, чтобы в следующий раз не нужно было делать это повторно. Для этого снова обращаемся к веб-интерфейсу центра сертификации в браузере: http://dc01/certsrv/

Выбираем нижний пункт Download a CA certificate, certificate chain, or CRL. Метод кодирования оставляем DER. Переходим по ссылке Download CA certificate chain. И сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, переводим переключатель в положение Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации, ОК, Далее и т.д.

После этих манипуляций при подключении к OWA в браузере уже не должно появляться пугающих предупреждений вроде этого:

Ошибка при подключении к OWA в браузере без сертификата

Метки:

22 Comments

  • SlavaWlf:

    >»Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами»
    Для обеспечения этого функционала требуется редакция «Enterprise» и выше.

    • admin:

      Вот меня всегда это интересовало. Может ли на практике возникнуть такая ситуация, когда выявится это «небольшое» нарушение. Лицензия на Exchange у предприятия есть, но на версию Standard, а админ по незнанию задействовал функционал, требующий Enterprise.

  • klez:

    Спасибо Вам огромное за материал!! Только благодаря Вам смог нормально настроить outlook anywhere!
    в пункте 2 опечатка:
    certutil -setreg policy \EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
    должно быть без пробела
    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    большое спасибо за Ваш труд.

  • sab:

    Подскажите почему у меня в шаблонах нет пункта «Web server»?

    • admin:

      Его можно добавить. На сервере, где центр сертификации:
      certsrv.msc > «Certificate Templates». В правой панели, там где список шаблонов, в свободном месте правый клик > New > «Certificate Templates to Issue». Там выбрать нужный шаблон и нажать OK.

  • Владимир:

    Добрый день. Была попытка установки СА, удалил. Сейчас установил повторно, но сайт СА по адресу dc01/certsrv не работает. Мало того, в настройках ИСА только дефаулт сайт. Подскажите пожалуйста, что делать? Спасибо

  • Михаил:

    Подскажите пожалуйста, при подключении Outlook к Exchange извне спрашивает логин и пароль, ввожу e-mail, пароль доменного пользователя и не пускает. Outlook Anywhere включен, порты открыты. Сделал сертификат согласно вашей инструкции которая для ПК который не в домене, загрузил сертификат и все равно не подходит логин и пароль. В чем может быть проблема?

    • admin:

      Сертификат тут не при чём. В качестве имени пользователя нужно вводить его доменный логин, а не мыло. В зависимости от настройки, может потребоваться указать перед логином имя домена (или его сокращенный псевдоним). Примерно так: mydomain\MyUser

  • Михаил:

    После того как ввоже логин и пароль доменной учетки выкидывает ошибку: «Не удается завершить действие. отсутствует подключение к microsoft exchange для завершения операции треюуется постоянное или временное подключение Outlook к серверу»

  • Михаил:

    Exchange 2010 и офис тоже 2010.

    • admin:

      На сколько я помню, в 2010 клиента нужно настроить специально, чтобы он мог снаружи цепляться к серверу. в 2013 ничего такого нет. Всё автоматически и без «внутренних» портов. Используются только 80 и 443.

  • Михаил:

    подключение с аутлука по 587 порту работает, а по 465 выдает The Microsoft Exchange IMAP4 service is ready. и не подключает. В привязке IMAP4 прописал ssl 465, но все равно не работает.

  • Михаил:

    пользователям надо к аутлуку прикрутить

  • Василий:

    добрый день, сделал запрос сертификата, получил его из CA, импортировал его. Появилась ошибка не удалось определить состояние сертификата т.к. не удалось выполнить проверку отзыва. Проверил на сервере exchange, список отзыва, указанный в url в сертификате, без проблем скачивается с CA. Перевыпустил список отзыва, но все равно ошибка осталась. В чем может быть проблема?

  • Alexey:

    Здравствуйте,
    делал обновление сертификатов Microsoft Exchange Server 2010 согласно вашей инструкции. после обновления у пользователей которые подключится не из локальной сети возникает ошибка при запуске почтового клиента «Обнаружена ошибка сертификата безопасности прокси-сервера.Outlook не может выполнить подключение к прокси серверу.Код ошибки 2.»также не работает веб доступ.Как побороть данную проблему? буду очень благодарен за советы!

  • Александр:

    Подключаюсь аутлуком к exchange протокол POP3 по 995 порту с SSL проходи успешно авторизацию, а SMTP по порту 465 с шифрованием SSL выдает такую ошибку:

    Отправка тестового электронного сообщения: На сервере отсутствует поддержка указанного типа шифрования подключений. Попробуйте изменить способ шифрования. За дополнительными сведениями обратитесь к администратору почтового сервера или к поставщику услуг Интернета.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Copyright © 2011-2017 Сисадминские будни All rights reserved.
Любое воспроизведение материалов сайта возможно только с активной ссылкой на admsoft.ru.