Делаем сертификат для OWA (Outlook Web Access).
Нам нужно сделать сертификат для OWA.
Сертификат мы делаем сами. Для этого у вас в домене должен быть установлен корневой центр сертификации. Данный сертификат у нашего центра сертификации будет “само подписанный”. Это означает, что выпущенным нашим центром сертификаты не будут доверять клиенты которые не знают про наш корневой центр сертификации. Вас это пугать не должно. Для того чтобы нашему сертификату доверяли необходимо сделать небольшое действие: установить сертификат корневого центра для этих компьютеров (делается очень просто).
Вы можете купить сертификат. Это очень хорошая идея. Правда, сертификат вам обойдется примерно в 500 $ в год. Следует покупать “специальный” сертификат. Он включает в себя до 5 имен. При покупке обязательно укажите что покупаете сертификат для Exchange сервера (менеджер вас поймет). Если у вас есть возможность – купите коммерческий сертификат.
(при желании, к примеру, можно узнать про сертификаты здесь)
***
У нас денег немного, по этому мы делаем сертификат для IIS сами:
Сертификат создается на сервере Exchange 2007 с помощью командной консоли Exchange:
Пуск – Все программы – Microsoft Exchange Server 2007 – Командная консоль Exchange
Запускать следует только эту командную оболочку.
С помощью командной строки или только с помощью Power Shell работать нельзя.
Пускай у нас:
1. Внутренне имя сервера server5
2. Имя домена myfirm.local
3. Полное доменное имя сервера server5.myfirm.local
4. Домен в интернете имеет имя myfirm.ru
5. Внешнее имя сервера mail.myfirm.ru
6. Соответственно почта у нас %username%@myfirm.ru
В командной оболочке даем запрос на выдачу сертификата:
1 |
New-ExchangeCertificate -GenerateRequest -Path c:\Request.txt -KeySize 1024 -SubjectName "c=RU, s=Moscow, l=Moscow, o=MyGoodFirma, ou=IT, cn=mail.myfirm.ru" -DomainName mail.myfirm.ru, server5, server5.myfirm.local -PrivateKeyExportable $True |
Запрос выводится в файл c:\Request.txt
Этот файл c:\Request.txt – запрос на сертификат. Если вы решите купить сертификат – именно этот файл вы и будете отсылать.
Но мы ничего отсылать не будем. Мы сделаем сертификат собственными силами.
Заходим на наш доменный корневой центр сертификации (если вы его не установили – самое время установить). Предположим, что имя этого сервера serv7.myfirm.local
Открываем браузер IE на этом сервере и в строке адреса вводим:
1 |
https://serv7.myfirm.local/certsrv |
Необходимо ввести логин-пароль администратора домена.
Далее:
1. Request a certificate
2. advanced certificate request.
3. Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
В поле (1) вставляем все содержимое файла запроса c:\Request.txt (абсолютно все строчки)
В поле (2) выбираем WEB Server
Проверив, что все правильно нажимаем “Submit”.
Появляется окно:
В которм выбираем кнопку Download Certificate.
Сертификат сохраняем на сервер server5 в корень диска C:\certnew.cer
В командной консоли Exchange импортируем сертификат:
1 |
Import-ExchangeCertificate -Path C:\certnew.cer |
Появится окно об успешном импорте:
1 2 3 |
Thumbprint Services Subject ---------- -------- ------- 9C6FB5ADDD3864F64433956251B6BAACAB598E71 ..... CN=mail.myfirm.ru, OU=IT, O=MyGoodFirma, L=Moscow, S=Moscow, C=RU |
Нас прежде всего интересует строка Thumbprint
Значение строки 9C6FB5ADDD3864F64433956251B6BAACAB598E71 нужно скопировать или запомнить 🙂
Строка: CN=mail.myfirm.ru, OU=IT, O=MyGoodFirma, L=Moscow, S=Moscow, C=RU означает что все хорошо. Если вы ошиблись и выписали сертификат на свое имя, а не на WEB Server, то следует повторить запрос и выдачу сертификата.
Сделайте еще один запрос:
1 |
Get-ExchangeCertificate -Thumbprint 9C6FB5ADDD3864F64433956251B6BAACAB598E71 | FL |
Посмотрите что записано в нашем сертификате.
Последняя команда:
1 |
Enable-ExchangeCertificate –Thumbprint 9C6FB5ADDD3864F64433956251B6BAACAB598E71 -Services “IIS, POP, IMAP” |
Включает использование сертификата нашим IIS сервером.