В Exchange Server 2010, как и в его предшественнике Exchange Server 2007 для работы всевозможных коммуникационных протоколов повсеместно используются сертификаты SSL. При установке первого сервера Exchange, он устанавливается с самоподписанным сертификатом. И прежде чем внедрить новый сервер Exchange, необходимо создать и присвоить ему новый SSL сертификат.
В данной статье мы попробуем настроить SSL сертификат для домена contoso.local.
Генерируем новый сертификат для Exchange Server 2010
В консоли управления Exchange Management Console перейдем в раздел Server Configuration. Щелкнем правой кнопкой по серверу и выберем пункт New Exchange Certificate.
Введем имя нового сертификата. В данном случае назовем сертификат “Contoso Exchange Server”.
Далее нам нужно указать имена всех служб Exchange 2010, которые будут защищены с помощью сертификатов SSL.
Первая служба — Outlook Web App. Укажем внешнее и внутренне имя для Outlook Web App. В данном примере настроим внутреннее имя — “ex2010.contoso.local” , внешнее — “mail.contoso.local”.
Затем настроим имя для ActiveSync. Для упрощения управления и настройки я буду использовать тоже имя, что и для Outlook Web App (mail.contoso.local).
Настроим службы: Web Services, Outlook Anywhere и Autodiscover. И опять я укажу имя “mail.contoso.local”. Для Autodiscover дополнительные имена “autodiscover.contoso.local” и “autodiscover.xyzimports.local” для всех почтовых доменов организации.
Сервер Hub Transport также для обеспечения безопасности SMTP коммуникации требует наличие SSL сертификата. Укажем имя “mail.contoso.local”.
Параметры Legacy Name (совместимость) необходимо настраивать, если вы планируете постепенный перенос служб и данных из Exchange 2003 в Exchange 2010. Имена legacy name нужно настроить для каждого обслуживаемого пространства имен в организации, например “legacy.contoso.local” и “legacy.xyzimports.local”.
После настройки всех служб, перейдем к следующему этапу мастера настройки нового сертификата Exchange.
Подтвердим, что все указанные доменные имена будут включены в запрос на генерацию нового сертификата. Если есть необходимость добавить дополнительные домены, сделайте это.
Далее мы должны заполнить справочную информацию сертификата, включая название организации, ее местоположение и место расположения файла-запроса сертификата.
Для генерации файла с запросом сертификата, нажмем кнопку New.
Работа мастера окончена.
Затем должно появиться окно, в котором указывается, что мастер в качестве типа сертификата Exchange выбрал “Unified Communications certificate” (также он называется сертификатом SAN).
После того, как мы создали запрос на новый сертификат, нужно вернуться в консоль Exchange Management Console, правой кнопкой щелкнем по серверу и выберем пункт Complete Pending Request.
Укажем путь к сертификату, убедитесь, что новый SSL сертификат импортировался успешно.
И в списке действительных сертификатов сервера появится еще один.
Назначаем новый сертификат серверу Exchange 2010
После установки нового SSL сертификата, необходимо назначить его службам Exchange Server 2010. Для этого щелкните правой кнопкой мыши по новому сертификату и выберите “Assign Services to Certificate”.
Укажем наш новый сервер Exchange и нажмем Next.
Укажем службы, для которых необходимо назначить сертификат. В этом примере укажем сервисы IIS и SMTP.
После окончания мастера появится окно с предложением перезаписать текущий самоподписанный сертификат, согласимся с этим предложением, нажав Yes.