Для системного администратора

Сегодня мы рассмотрим одну проблему, связанную с сертификатами для Exchange 2010. Данная проблема появилась у меня в тестовой среде, состоящей из следующих серверов:

В указанной выше лабораторной среде контроллер домена выполняет также роль Enterprise Root CA. Я запросил новый сертификат для импортирования его и включения нужных мне служб на сервере Exchange 2010 box. Однако что то пошло не правильно и сертификат не имел закрытого ключа. После скачивания сертификат он не имел строки “You have a private key that corresponds to this certificate.”

Интересное:

Хотя существует мнение что психология женщины не поддается понимаю, мужская психология ничем не легче.

Соответственно сертификат можно импортировать с помощью EMC, но назначить его для какой либо службы я не могу. В итоге я нашел метод решения данной проблемы и представляю его вашему вниманию:

• Скачайте сертификат и сохраните его на сервере.
• Нажмите Start –> Run, введите MMC и нажмите Enter.
• В консоли MMC зайдите в меню File и выберите Add/Remove Snap-in…
• Выберите Certificates.
• Нажмите кнопку Add .
• Выберите Computer account.
• Нажмите Finish и затем OK
• Разверните Certificates –> Personal –> Certificates

• Нажмите правой кнопкой мыши в правой панели MMC и выберите All Tasks –> Import…

• Укажите путь к сохраненному сертификату и нажмите Finish
• В правой панели должен появится ещё один сертификат. Другой сертификат, который вы видите – это самоподписанный сертификат сгенерированный на этапе установки Exchange.

• Сделайте двойной клик на импортированном сертификате и перейдите в вкладку Details.
• Перейдите в пункт Serial Number и сохраните данное значение в блокнот.

• Откройте командную строку, наберите certutil –repairestore my “серийный номер сертификата” и нажмите enter.

• Теперь обновите оснастку Certificates MMC и вы должны увидеть закрытый ключ.

• Далее выберите этот сертификат и нажмите All Tasks –> Export…

• Экспортируйте сертификат в .pfx файл с следующими опциями.

• Yes, Export the private key на странице Export Private Key.
• Include all certificates in certification path if possible на странице Export File Format.
• Укажите все расширенные свойства на странице Export File Format.
• Введите пароль.
• Укажите путь для сохранения pfx файла и закройте мастер.

• Теперь откройте EMS и выполните следующий командлет:

[PS] C:\>Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path "C:\Users\Administrator.EXCHANGE\Desktop\exchangecert.pfx" -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password

При запросе учетных даннй укажите данные залогиненного пользователя и пароль, который вы задавали на этапе экспорта pfx файла. Если все данные верны, вы увидете следующий вывод:

Далее вы можете назначить данный сертификат на нужные службы Exchange. Для этого откройте EMS и выполните:

  Enable-ExchangeCertificate -Server ‘EXCHANGE2010′ -Services ‘IMAP, POP, IIS, SMTP’ -Thumbprint ‘E7DD3356F1DC4359D9AAFD18BC7E36C06C7FC418′

Оригинал на msexchangegeek.com.

Полезные ссылки:

Интересный блог, интересные мысли. Очень понравилась статья “Изменить мир – значит изменить себя“, рекомендую к прочтению и её, да и вообще многие другие статьи.