Главная > Интернет, Телекоммуникация, сети > Обновление самозаверяющих сертификатов в Exchange Server 2007

Обновление самозаверяющих сертификатов в Exchange Server 2007

Exchange 2007В данном посте я опишу процесс обновления самозаверяющего сертификата в Exchange Server 2007 на такой же самозаверяющий клонированный сертификат с новой датой окончания срока действия.

А началось все с того, что на одном из серверов Exchange 2007 с установленными ролями: Транспортный сервер-концентратор, Клиентский доступ, Почтовые ящики, начали появляться события об ошибках с номерами 12014 и 12016 следующего содержания:

Тип события: Ошибка
Источник события: MSExchangeTransport
Категория события: TransportService
Код события: 12014
Дата: 27.01.2009
Время: 10:18:47
Пользователь: Н/Д
Компьютер: POST
Описание:
Microsoft Exchange не удается найти сертификат, содержащий имя домена post.mydomain.ru, в хранилище личных сертификатов на локальном компьютере, поэтому он не поддерживает команду STARTTLS SMTP для соединителя Default POST с полным доменным именем post.mydomain.ru. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.

Тип события: Ошибка
Источник события: MSExchangeTransport
Категория события: TransportService
Код события: 12016
Дата: 27.01.2009
Время: 10:15:32
Пользователь: Н/Д
Компьютер: POST
Описание:
Отсутствует допустимый сертификат SMTP TLS для полного доменного имени post.mydomain.ru. Существующий сертификат для этого полного доменного имени устарел. Продолжение использования этого полного доменного имени может привести к проблемам с потоком почты. Необходимо как можно скорее установить на сервере новый сертификат, содержащий полное доменное имя post.mydomain.ru. Чтобы создать сертификат, можно использовать задачу New-ExchangeCertificate.

Также в журнале было замечено предупреждающее событие с кодом 12015

Тип события: Предупреждение
Источник события: MSExchangeTransport
Категория события: TransportService
Код события: 12015
Дата: 27.01.2009
Время: 10:20:01
Пользователь: Н/Д
Компьютер: POST
Описание:
Сертификат внутреннего транспорта устарел. Отпечаток:DBA12B13F73B2032D46894D9E0B432ACC4E58034

При всем этом, при запуске почтового клиента Outlook 2007 появлялась окно предупреждения системы безопасности, где ясно написано, что срок действия сертификата истек.

При установке Exchange 2007 с ролью сервера клиентского доступа создается самозаверяющий сертификат. Самозаверяющий сертификат защищает данные, передаваемые между серверами Exchange 2007 в организации. Он также является временным решением для шифрования связи с клиентами, которое можно использовать до получения и установки другого сертификата. Самозаверяющий имеет две записи дополнительного имени субъекта: одну для NetBIOS-имени сервера клиентского доступа, а другую — для полного доменного имени сервера клиентского доступа. Хотя самозаверяющий сертификат можно использовать для шифрования связи между сервером клиентского доступа и другими ролями сервера Exchange Server 2007, не рекомендуется использовать его с клиентскими приложениями и устройствами. Из-за ограничений самозаверяющего сертификата следует заменить его доверенным сторонним сертификатом или сертификатом, подписанным Windows PKI.

Срок действия самозаверяющего сертификата истекает через год после установки роли сервера клиентского доступа. Для обновления самозаверяющего сертификата путем его клонирования можно использовать командную консоль Exchange. Для клонирования сертификата прежде всего требуется получить отпечаток текущего сертификата по умолчанию для домена с помощью командлета Get-ExchangeCertificate.

Get-ExchangeCertificate -DomainName post.mydomain.ru

get-exchangecertificate

Чтобы клонировать сертификат, выполните следующий командлет:

Get-ExchangeCertificate -Thumbprint DBA12B13F73B2032D46894D9E0B432ACC4E58034 | New-ExchangeCertificate

Клонированный сертификат получит отметку новой даты окончания срока действия (через год с даты выполнения командлета).

Снова выполним командлет Get-ExchangeCertificate -DomainName post.mydomain.ru, для того, чтобы убедиться, что новый самозаверяющий сертификат создан:

get-exchangecertificate1 Для включения нового существующего сертификата, расположенного в локальном хранилище сертификатов используем командлет Enable-ExchangeCertificate:

Enable-ExchangeCertificate -Thumbprint 638002F5DCAB1868B21AD36FDBF5D0F401A22DA2 -Services «IMAP,POP,IIS,SMTP»

Это настроит службы IIS (то есть HTTP) и SMTP в Exchange 2007 для использования нового сертификата.

  1. alex
    1 Июль 2014 в 14:46 | #1

    что это?
    WARNING: This certificate will not be used for external TLS connections with an FQDN of ‘EMAIL.server.ru’ because the CA-signed certificate

    with thumbprint ’19D9DFFF4DFF1122C254309A3C04C6A4B2EBC403′ takes precedence. The following connectors match that FQDN: Default EMAIL, Client

    EMAIL, smtpIN.

    Confirm
    Overwrite existing default SMTP certificate, ‘36345FC0A187D2A30C6B9010213905E3877FB14D’ (expires 24.06.2016 12:51:11), with certificate
    ‘C31437C4BCA1C14AE37969C2CD989334AE664C17′ (expires 01.07.2019 12:42:22)?
    [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is «Y»): n

  2. alex
    1 Июль 2014 в 14:48 | #2

    CA-signed certificate само подписанный

  3. 1 Июль 2014 в 17:47 | #3

    А в чем вопрос? Проблема с переводом?

  1. Пока что нет уведомлений.