1. Установка центру сертифікації в домені
Кнопка Add Required Role Services
Відзначаємо верхні 2 пункту (решті за бажанням)
Задаємо термін дії сертифікатів, виданих цим центром сертифікації
2. Налаштування центру сертифікації
За замовчуванням центр сертифікації генерує сертифікати, які обслуговують тільки по одному імені суб'єкта. Тобто для кожного імені потрібно генерувати окремий сертифікат. Щоб дозволити випуск сертифікатів з декількома альтернативними іменами суб'єктів, необхідно на сервері з роллю Центру сертифікації виконати команду:
і перезапустити служби сертифікації:
Вводимо зрозуміле ім'я створюваного сертифікату (можна кирилицею), наприклад, «Доменний сертифікат Exchange», кнопка Next.
Сторінку Domain Scope (Область домену) пропускаємо. Далі цікаве:
На сторінці Exchange Configuration (Конфігурація сервера Exchange) розгортаємо вузол Client Access server (Outlook Web App)
і встановлюємо обидва прапорця:
- Outlook Web App is on the Intranet
- Outlook Web App is on the Internet
Перевіряємо, щоб у другому полі було зазначено коректне ім'я, на яке посилається MX запис для вашого домену на зовнішніх DNS серверах.
Розгортаємо вузол Client Access server (Exchange ActiveSync). Повинен бути встановлений прапорець Exchange Active Sync is enabled
Розгортаємо Client Access server (Web Services, Outlook Anywhere, and Autodiscover) і вводимо той же ім'я для зовнішнього вузла. Також повинен бути встановлений прапорець Autodiscover used on the Internet і налаштована на Long URL (Example: autodiscovet.contoso.com). В поле Autodiscovet URL to use: залишаємо тільки autodiscover.<имянашегодомена>. Кнопка Next.
На сторінці Certificate Domains натискаємо кнопку Next
Заповнюємо сторінку Organization and Location (можна кирилицею)
Натискаємо кнопку Browse. задаємо ім'я файлу (наприклад, CertRequest) і зберігаємо його. Завершуємо створення сертифіката
4. Отримання сертифікату з центру сертифікації
Знаходимо тільки що збережений файл CertRequest.req і відкриваємо його в Блокноті. Ctrl + A, Ctrl + C (зберігаємо вміст файлу в буфер обміну) і закриваємо Блокнот.
У списку CertificateTemplate вибираємо Web Server і натискаємо кнопку Submit. потім ОК.
Клацаємо по посиланню Завантажити сертифікат і зберігаємо його на диску (наприклад, під ім'ям certnew.cer). Після завантаження відкриваємо його і перевіряємо, що на вкладці Details є пункт SubjectAlternativeName. який містить кілька додаткових імен.
5. Імпорт і призначення сертифіката
На сторінці CompletePendingRequest натискаємо кнопку Browse. знаходимо на диску сертифікат certnew.cer, завантажений з центру сертифікації і імпортуємо його сюди.
Знову робимо правий клік по «Доменний сертифікат Exchange» і вибираємо пункт Assign Services to Certificate (Призначення служб сертифікату). На сраніце вибору серверів в списку повинен бути зазначений наш сервер, для якого призначається сертифікат. На сторінці Select Services (Вибір служб) встановлюємо прапорець IIS
Далі, призначити, готово.
6. Поширення сертифіката
В домені сертифікат пошириться автоматично разом з оновленням групових політик. Для негайного тестування можна на клієнті виконати команду
Вибираємо нижній пункт Download a CA certificate, certificate chain, or CRL. Метод кодування залишаємо DER. Переходимо по посиланню Download CA certificate chain. І зберігаємо файл з розширенням .p7b. Передаємо цей файл клієнтові. На клієнті правий клік по файлу сертифіката, вибираємо пункт Встановити сертифікат, переводимо перемикач в положення Помістити всі сертифікати в наступне сховище. Огляд, Довірені кореневі центри сертифікації, ОК, Далі і т.д.
Після цих маніпуляцій при підключенні до OWA в браузері вже не повинно з'являтися лякають попереджень на кшталт цього:
Сертифікат тут ні при чому. Як ім'я користувача потрібно вводити його доменний логін, а не мило. Залежно від настройки, може знадобитися вказати перед логіном ім'я домену (або його скорочений псевдонім). Приблизно так: mydomain \ MyUser
Після того як вводжу логін і пароль доменної учеткі викидає помилку: «Не вдається завершити дію. встановлюється з'єднання з microsoft exchange для завершення операції Трею постійне або тимчасове підключення Outlook до сервера »
добрий день, зробив запит сертифіката, узяв би своє з CA, імпортував його. З'явилася помилка не вдалося визначити стан сертифіката тому не вдалося виконати перевірку відкликання. Перевірив на сервері exchange, список відкликання, зазначений в url в сертифікаті, без проблем скачується з CA. Перевипустити список відкликання, але все одно помилка залишилася. В чому може бути проблема?
Відправка тестового електронного повідомлення: На сервері відсутня підтримка зазначеного типу шифрування підключень. Спробуйте змінити спосіб шифрування. За додатковими відомостями зверніться до адміністратора поштового сервера або до постачальника послуг Інтернету.