Exchange 2010 CA tanúsítvány több névvel

03. január 2010 · Write a comment · Categories: Exchange, MS · Tags: , ,

A szünet alatt eljutottam odáig, hogy az Exchange 2010 élesztésével, hogy az OWA és egyéb részek által használatos kulcsot kelljen cserélnem, beélesíteni (a gyári önaláírt kulcs ugyebár max a kezdéshez elég, de ha valóban használni kívánjuk a szervert, akkor ki kell cserélni). Az egyszerűség kedvéért végigveszem miképp is kell ezt megtenni.

Az egészet – természetesen – Power Shell-ből lehet végigcsinálni, így bár nem jelölöm, de minden ott történik. Amennyiben távolról kezeljük a szerverünket akkor a számunkra szükséges szerverhez kapcsolódjunk az Exchange Power Shell-el. Nézzük tehát mi a teendőnk!

Aktuálisan elérhető Certificate-k lekérdezése

Első lépésben ellenőrizzük le a már meglévő certificate-ket amik a rendszerben aktuálisan elérhetőek.

[PS] C:\Windows\system32>Get-ExchangeCertificate

Thumbprint                              Services Subject

———-                              ——– ——-

6CFEB76CB02E4515F52E4D03E7621882BED59163 ……  CN=srvxch1.domain.hu

6D580B3EDBBFA408B86F713FE93EB5D61C3CDDD8 ……  CN=SRVXCH1.domain.hu

29FAB7D0FB92673D1A9245717F76548D4B82FBEE ……  CN=SRVXCH1.domain.hu

7E4914F1EE5050C462D4CC2916E03BBF9212FAC2 IP.WS.  CN=SRVXCH1

Új kulcs igénylése, generálása, betöltése

 

1. Kérés létrehozása

Amennyiben ezek között nincs a számunkra szükséges kulcs, akkor nincs mese, újat kell kérni. Mi a teendő? Egy szép hosszú sor végiggépelésével léphetünk tovább.

new-exchangecertificate –generaterequest –domainame owa.doamin.hu, srvxch1.domain.hu, webmail.domain.hu, srvxch1, webmail 
–includeautodiscover > certreq.req

Sajnos a –path c:\certreq.req kapcsoló már nem létezik, így a legegyszerűbb, ha a kapott eredményt átirányítjuk egy fájlba.
 

2. Kulcs generálása

A Certificate szerveren a szükséges kulcsot az elkészített igényléssel a következő képpen hozhatjuk létre:

  1. Belépés a Certificate Server-re
    Certsrv1
  2. Kulcsigénylés kiválasztása
    Certsrv2
  3. Kiterjesztett kulcsigénylés kiválasztása
    Certsrv3
  4. Igénylés adatainak megadása
    Certsrv4
  5. Elkészült kulcs letöltése
    Certsrv5

A létrehozott kulcsot én magam .p7b formátumba mentettem el.
 

3. Kulcs betöltése az Exchange szerverre

A létrehozott kulcsot még be kell töltenünk az Exchange szerver megfelelő tárolójába, a következő utasítással:

import-exchangecertificate –filedata ([Byte[]]$(get-content –path C:\certnew.p7b –encoding byte –readcount 0))

Sajnos itt is a bonyolultabb megoldás áll rendelkezésünkre a fájl tartalmának beolvasására, de a súgó segít a pontos szintaktikában!
 

Kulcs használatának beállítása

Miután a kulcsot betöltöttük “már csak” be kell állítani, hogy a szerverünk ezt használja az általunk kért funkciókhoz. Ennek menete a következő:

  1. Elérhető kulcsok listázása, és a Thumbprint meghatározása

    [PS] C:\Windows\system32>Get-ExchangeCertificate

    Thumbprint                              Services Subject

    ———-                              ——– ——-

    D350FA4079F7707DF1F03294AE37A046B9E2FED8 IP….  CN=owa.domain.hu

    6CFEB76CB02E4515F52E4D03E7621882BED59163 ……  CN=srvxch1.domain.hu

    6D580B3EDBBFA408B86F713FE93EB5D61C3CDDD8 ……  CN=SRVXCH1.domain.hu

    29FAB7D0FB92673D1A9245717F76548D4B82FBEE ……  CN=SRVXCH1.domain.hu

    7E4914F1EE5050C462D4CC2916E03BBF9212FAC2 IP.WS.  CN=SRVXCH1

    Most már láthatjuk az újonnan betöltött kulcsunkat is, aminek a továbbiakban szükségünk lesz a Thumbprint kódjára a továbbiakban.

  2. Kulcs használatának megadása

    [PS] C:\Windows\system32>Enable-ExchangeCertificate D350FA4079F7707DF1F03294AE37A046B9E2FED8 -Services imap, pop, iis

    Vegyük észre, annak meghatározása, hogy a kulcsot mire kell használnia a szervernek a –Services kapcsoló mögött megadott paraméterektől függ.

  3. Beállítások ellenőrzése – összes kulcs listázása

    [PS] C:\Windows\system32>Get-ExchangeCertificate

    Thumbprint                              Services Subject

    ———-                              ——– ——-

    D350FA4079F7707DF1F03294AE37A046B9E2FED8 IP.WS.  CN=owa.domain.hu

    6CFEB76CB02E4515F52E4D03E7621882BED59163 ……  CN=srvxch1.domain.hu

    6D580B3EDBBFA408B86F713FE93EB5D61C3CDDD8 ……  CN=SRVXCH1.domain.hu

    29FAB7D0FB92673D1A9245717F76548D4B82FBEE ……  CN=SRVXCH1.domain.hu

    7E4914F1EE5050C462D4CC2916E03BBF9212FAC2 IP..S.  CN=SRVXCH1

  4. Beállítások ellenőrzése – egy kulcs listázása

    [PS] C:\Windows\system32>(Get-ExchangeCertificate)[0] | fl

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR

    ule, System.Security.AccessControl.CryptoKeyAccessRule}

    CertificateDomains : {owa.domain.hu, webmail.domain.hu, srvxch1, webmail, autodiscover.domain.hu}

    HasPrivateKey : True

    IsSelfSigned : False

    Issuer : CN=Domain Enterprise Root CA, DC=domain, DC=hu

    NotAfter : 2012.01.02. 16:37:01

    NotBefore : 2010.01.02. 16:37:01

    PublicKeySize : 2048

    RootCAType : Enterprise

    SerialNumber : 1501A128000000000009

    Services : IMAP, POP, IIS, SMTP

    Status : Valid

    Subject : CN=owa.domain.hu

    Thumbprint : D350FA4079F7707DF1F03294AE37A046B9E2FED8

 

Kulcs használata

A továbbiakban a rendszer már az új kulcsot használja, a beállított felületeken, nincs más dolgunk mint tesztelni a szolgáltatásokat.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

CAPTCHA

*