Бесплатный сертификат и MS Exchange 2010

On 24/02/2016, in Exchange, by Алексей Волобуев

Попросили меня помочь компании из малого бизнеса перейти на новый домен в почтовом сервере с минимальными затратами. В компании развернут сервер MS Exchange 2010. Тратиться на сертификаты компании не хотелось, поэтому я предложил использовать сертификат, выдаваемый StartSSL.

 

Быстро зарегистрировался на сайте StartSSL и верифицировал домен. Все просто, указываем почту. Выдали сертификат клиента, который используется вместо логина и пароля. Для валидации домена, необходимо выбрать п/я, куда придет код для проверки.

startssl1

 

После получения кода, вбиваем его в поле Verification code: . Домен проверен. Можно теперь выписывать для него сертификат.

В MS Exchange 2010 запускаем мастер создания сертификатов.

1) Задаем имя сертификата

Exchange1

2) Отказываемся от создания запроса на Wildcard сертификата, жмем «Далее >»

Exchange2

3) На этом шаге выбираем нужные нам службы (OWA, POP, IMAP, SMTP и т.д.). Вбиваем FQDN имя. Тут я думал, что бесплатный сертификат может содержать только одно имя, не имеет поле SAN. Но как оказалось, я ошибался. На момент написания статьи можно добавить в 1 сертификат до 5 имен. А это очень круто, т.к. сертификаты с полем SAN в разы дороже обычного сертификата.

Exchange3

4) На этом шаге проверяем, все ли FQDN ссылки добавлены в сертификат. Обязательно выбираем правильное общее имя (имя по которому мы будем обращаться через веб-клиент). Для нормальной работы почтовых клиентов и автонастройки должно присутствовать имя autodiscover.DOMAIN.COM, где DOMAIN.COM ваш домен. Можно добавить FQDN DOMAIN.COM

Exchange4

5) Заполняем дополнительную информацию в сертификате, указываем путь к файлу с запросом сертификата.

Exchange5

6) Последний шаг перед созданием сертификата

Exchange6

7) После сохранения запроса в файл. Открываем его для редактирования в обычном блокноте, выделяем ВСЕ и копируем ВСЕ в буфер. После этого идем на сайт StartSSL. запускаем «Мастер сертификата». Выбираем проверку «Веб-сервер SSL/TLS Сертификат». Жмем «Продолжить»

startssl2

 

8)  Вводим, что просит мастер. Вбиваем все FQDN, что вбили на 4 шаге. Первым вбиваем общее имя (имя по-умолчанию). Во второе поле копируем запрос (CSR).

startssl4

9) Проверка прошла успешно, идем в список сертификатов

startssl5

10) И качаем нужный сертификат

startssl6

11) Получаем ZIP файл с файлами под разные веб-серверы. Нам надо IIS. Копируем нужный файл на почтовый сервер.

12) В консоли MS Exchange у нас висит запрос на сертификат. Завершаем запрос, подсовываем нужный CRT файл.

Exchange7

13) Радуемся, что сертификат подходит для MS Exchange

Exchange8

 

14) Навешиваем сервисы на сертификат. Проверяем, что все работает и радуемся жизни.

Далее перенастраиваем все сервисы (OWA, ECP, ActiveSync, OAB, POP3, IMAP4) для работы с новым доменом и сертификатом.

P.S. Как итог. Очень порадовал сервис StartSSL. Особенно, что теперь можно выпускать сертификаты с множеством FQDN. Для небольших компаний самое то. Надеюсь политика StartSSL не изменится и компания и дальше позволит выпускать такие сертификаты.

 

Еще статьи:

Сертификаты для MS Exchange 2010

Все статьи про MS Exchange.

Tagged with:  

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *