Exchange 2010, TMG a certifikáty…

Home / Uncategorized / Exchange 2010, TMG a certifikáty…

Stále se opakující problém s certifikáty s více jmény. Po náročném laborování se osvědčil jediný postup :

V Exchange Management Shell vytvořit žádost :

  • Set-Content -path "C:\ssl.req" -Value (New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=xx, s=, l=, o=xxx, cn=exchange.firma.cz" -DomainName mail.firma.cz, mail2.firma.cz, jmenoexchange, jmenoexchange.firma.local, autodiscover.firma.cz -PrivateKeyExportable $True

Soubor c:\ssl.req zkopírovat na server s Certifikační Autoritou

Na serveru s Certifikační Autoritou spustit :

  • CERTUTIL -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT
    NET STOP certsvc && NET START certsvc

Dále spustit :

  • certreq -attrib "CertificateTemplate:webserver" ?submit c:\ssl.req
  • vybrat certifikační autoritu, potvrdit OK
  • v dialogu uložit certifikat na disk
  • zkopírovat soubor certifikatu na Exchange server

V Exchange Management Shell spustit :

  • Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\ssl.req -Encoding byte -ReadCount 0)) |  Enable-ExchangeCertificate -Services "IIS,POP,IMAP"

V Computer Personal Certificates byste měli vidět certifikát s Privátním klíčem, který je exportovatelný. Vyexportuje jej a uložte jej, resp naimportujte do Computer Personal Certificates na TMG server a můžete jej použít pro publikaci Exchange

Nejčatější problém byl, že certifikat neměl privátní klíč a v TMG (kdy certifikat s vice jmeny mel jmena v Subjectu a ne v Subject Alternative Name) , ale výše popsaný postup byl fukční. Pokud zná někdo lepší, jsem s ním 😉

3 Comments

  • MIT

    Na generovani certifikatu je mozne (alespon u E2007) pouzit prikaz New-ExchangeCertificate. Jinak jsme v podstate ve shode.

    Dale se pri zadosti v parametru -DomainName nemusi (pri pouziti New-ExchangeCertificate) uvadet autodiscover, ale staci pouzit prepinac -IncludeAutoDiscover.

    Jen pro uplnost: pro podepsani zadosti lze pouzit i WEB rozhrani CA. Tj. zvolit podepsani pres Formular, vybere se spravna sablona (web server) a do formulare se vlozi obsah ssl.reg

    A v mem pripade se po vymene certifikatu v IIS musel udelat jeste iisreset, aby zacal platit.

  • Josh

    U mne moc dobře neprošlo. Po dokončení (importu) certifikátu do exchange jej mám červený a s poznámkou že nejde použít pro využití exchange. Šablona webserver, root trusted. Nějaký nápad jak z toho ven, už se tady nad tím válím den 🙂 ?

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *