A szünet alatt eljutottam odáig, hogy az Exchange 2010 élesztésével, hogy az OWA és egyéb részek által használatos kulcsot kelljen cserélnem, beélesíteni (a gyári önaláírt kulcs ugyebár max a kezdéshez elég, de ha valóban használni kívánjuk a szervert, akkor ki kell cserélni). Az egyszerűség kedvéért végigveszem miképp is kell ezt megtenni.
Az egészet – természetesen – Power Shell-ből lehet végigcsinálni, így bár nem jelölöm, de minden ott történik. Amennyiben távolról kezeljük a szerverünket akkor a számunkra szükséges szerverhez kapcsolódjunk az Exchange Power Shell-el. Nézzük tehát mi a teendőnk!
Aktuálisan elérhető Certificate-k lekérdezése
Első lépésben ellenőrizzük le a már meglévő certificate-ket amik a rendszerben aktuálisan elérhetőek.
[PS] C:\Windows\system32>Get-ExchangeCertificate
Thumbprint Services Subject
———- ——– ——-
6CFEB76CB02E4515F52E4D03E7621882BED59163 …… CN=srvxch1.domain.hu
6D580B3EDBBFA408B86F713FE93EB5D61C3CDDD8 …… CN=SRVXCH1.domain.hu
29FAB7D0FB92673D1A9245717F76548D4B82FBEE …… CN=SRVXCH1.domain.hu
7E4914F1EE5050C462D4CC2916E03BBF9212FAC2 IP.WS. CN=SRVXCH1
Új kulcs igénylése, generálása, betöltése
1. Kérés létrehozása
Amennyiben ezek között nincs a számunkra szükséges kulcs, akkor nincs mese, újat kell kérni. Mi a teendő? Egy szép hosszú sor végiggépelésével léphetünk tovább.
new-exchangecertificate –generaterequest –domainame owa.doamin.hu, srvxch1.domain.hu, webmail.domain.hu, srvxch1, webmail
–includeautodiscover > certreq.req
Sajnos a –path c:\certreq.req kapcsoló már nem létezik, így a legegyszerűbb, ha a kapott eredményt átirányítjuk egy fájlba.
2. Kulcs generálása
A Certificate szerveren a szükséges kulcsot az elkészített igényléssel a következő képpen hozhatjuk létre:
- Belépés a Certificate Server-re
- Kulcsigénylés kiválasztása
- Kiterjesztett kulcsigénylés kiválasztása
- Igénylés adatainak megadása
- Elkészült kulcs letöltése
A létrehozott kulcsot én magam .p7b formátumba mentettem el.
3. Kulcs betöltése az Exchange szerverre
A létrehozott kulcsot még be kell töltenünk az Exchange szerver megfelelő tárolójába, a következő utasítással:
import-exchangecertificate –filedata ([Byte[]]$(get-content –path C:\certnew.p7b –encoding byte –readcount 0))
Sajnos itt is a bonyolultabb megoldás áll rendelkezésünkre a fájl tartalmának beolvasására, de a súgó segít a pontos szintaktikában!
Kulcs használatának beállítása
Miután a kulcsot betöltöttük “már csak” be kell állítani, hogy a szerverünk ezt használja az általunk kért funkciókhoz. Ennek menete a következő:
- Elérhető kulcsok listázása, és a Thumbprint meghatározása
[PS] C:\Windows\system32>Get-ExchangeCertificate
Thumbprint Services Subject
———- ——– ——-
D350FA4079F7707DF1F03294AE37A046B9E2FED8 IP…. CN=owa.domain.hu
6CFEB76CB02E4515F52E4D03E7621882BED59163 …… CN=srvxch1.domain.hu
6D580B3EDBBFA408B86F713FE93EB5D61C3CDDD8 …… CN=SRVXCH1.domain.hu
29FAB7D0FB92673D1A9245717F76548D4B82FBEE …… CN=SRVXCH1.domain.hu
7E4914F1EE5050C462D4CC2916E03BBF9212FAC2 IP.WS. CN=SRVXCH1
Most már láthatjuk az újonnan betöltött kulcsunkat is, aminek a továbbiakban szükségünk lesz a Thumbprint kódjára a továbbiakban.
- Kulcs használatának megadása
[PS] C:\Windows\system32>Enable-ExchangeCertificate D350FA4079F7707DF1F03294AE37A046B9E2FED8 -Services imap, pop, iis
Vegyük észre, annak meghatározása, hogy a kulcsot mire kell használnia a szervernek a –Services kapcsoló mögött megadott paraméterektől függ.
- Beállítások ellenőrzése – összes kulcs listázása
[PS] C:\Windows\system32>Get-ExchangeCertificate
Thumbprint Services Subject
———- ——– ——-
D350FA4079F7707DF1F03294AE37A046B9E2FED8 IP.WS. CN=owa.domain.hu
6CFEB76CB02E4515F52E4D03E7621882BED59163 …… CN=srvxch1.domain.hu
6D580B3EDBBFA408B86F713FE93EB5D61C3CDDD8 …… CN=SRVXCH1.domain.hu
29FAB7D0FB92673D1A9245717F76548D4B82FBEE …… CN=SRVXCH1.domain.hu
7E4914F1EE5050C462D4CC2916E03BBF9212FAC2 IP..S. CN=SRVXCH1
- Beállítások ellenőrzése – egy kulcs listázása
[PS] C:\Windows\system32>(Get-ExchangeCertificate)[0] | fl
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
ule, System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {owa.domain.hu, webmail.domain.hu, srvxch1, webmail, autodiscover.domain.hu}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=Domain Enterprise Root CA, DC=domain, DC=hu
NotAfter : 2012.01.02. 16:37:01
NotBefore : 2010.01.02. 16:37:01
PublicKeySize : 2048
RootCAType : Enterprise
SerialNumber : 1501A128000000000009
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=owa.domain.hu
Thumbprint : D350FA4079F7707DF1F03294AE37A046B9E2FED8
Kulcs használata
A továbbiakban a rendszer már az új kulcsot használja, a beállított felületeken, nincs más dolgunk mint tesztelni a szolgáltatásokat.