Попросили меня помочь компании из малого бизнеса перейти на новый домен в почтовом сервере с минимальными затратами. В компании развернут сервер MS Exchange 2010. Тратиться на сертификаты компании не хотелось, поэтому я предложил использовать сертификат, выдаваемый StartSSL.
Быстро зарегистрировался на сайте StartSSL и верифицировал домен. Все просто, указываем почту. Выдали сертификат клиента, который используется вместо логина и пароля. Для валидации домена, необходимо выбрать п/я, куда придет код для проверки.
После получения кода, вбиваем его в поле Verification code: . Домен проверен. Можно теперь выписывать для него сертификат.
В MS Exchange 2010 запускаем мастер создания сертификатов.
1) Задаем имя сертификата
2) Отказываемся от создания запроса на Wildcard сертификата, жмем «Далее >»
3) На этом шаге выбираем нужные нам службы (OWA, POP, IMAP, SMTP и т.д.). Вбиваем FQDN имя. Тут я думал, что бесплатный сертификат может содержать только одно имя, не имеет поле SAN. Но как оказалось, я ошибался. На момент написания статьи можно добавить в 1 сертификат до 5 имен. А это очень круто, т.к. сертификаты с полем SAN в разы дороже обычного сертификата.
4) На этом шаге проверяем, все ли FQDN ссылки добавлены в сертификат. Обязательно выбираем правильное общее имя (имя по которому мы будем обращаться через веб-клиент). Для нормальной работы почтовых клиентов и автонастройки должно присутствовать имя autodiscover.DOMAIN.COM, где DOMAIN.COM ваш домен. Можно добавить FQDN DOMAIN.COM
5) Заполняем дополнительную информацию в сертификате, указываем путь к файлу с запросом сертификата.
6) Последний шаг перед созданием сертификата
7) После сохранения запроса в файл. Открываем его для редактирования в обычном блокноте, выделяем ВСЕ и копируем ВСЕ в буфер. После этого идем на сайт StartSSL. запускаем «Мастер сертификата». Выбираем проверку «Веб-сервер SSL/TLS Сертификат». Жмем «Продолжить»
8) Вводим, что просит мастер. Вбиваем все FQDN, что вбили на 4 шаге. Первым вбиваем общее имя (имя по-умолчанию). Во второе поле копируем запрос (CSR).
9) Проверка прошла успешно, идем в список сертификатов
10) И качаем нужный сертификат
11) Получаем ZIP файл с файлами под разные веб-серверы. Нам надо IIS. Копируем нужный файл на почтовый сервер.
12) В консоли MS Exchange у нас висит запрос на сертификат. Завершаем запрос, подсовываем нужный CRT файл.
13) Радуемся, что сертификат подходит для MS Exchange
14) Навешиваем сервисы на сертификат. Проверяем, что все работает и радуемся жизни.
Далее перенастраиваем все сервисы (OWA, ECP, ActiveSync, OAB, POP3, IMAP4) для работы с новым доменом и сертификатом.
P.S. Как итог. Очень порадовал сервис StartSSL. Особенно, что теперь можно выпускать сертификаты с множеством FQDN. Для небольших компаний самое то. Надеюсь политика StartSSL не изменится и компания и дальше позволит выпускать такие сертификаты.
Еще статьи: