Skype for business установка внешнего сертификата — Exchange 2010

Добрый день.

Сегодня мы рассмотрим ситуацию, когда Exchange 2010 будет использовать сертификат, выданный внешним сертификационным центром только на внешнее доменное имя организации.

Если просто установить такой сертификат и назначить его на сервисы Exchange, при каждом запуске Outlook у пользователей будет возникать ошибка и мы ее должный исправить.

Условия задачи:

  • внутренне доменное имя — dzuba.local
  • внешнее доменное имя dzubenko.kiev.ua
  • сертификат выданный только на внешнее доменное имя mail.dzubenko.kiev.ua
  • Exchange 2010 SP3 -имя сервера exch2010.dzuba.local

Приступим:

Изначально при установке Exchange 2010 автоматически генерируется сомоподписной сертификат на имя компьютера сроком на 5 лет.

Т.к. у меня все же нету настоящего сертификата от внешнего сертификационного центра, я использую доменный CA, но имя запрашиваю внешнее — суть от этого все равно не меняется.

На сервере с Exchange запускаем консоль mmc — выбираем добавить оснастку — выбираем Certificates, выбираем Computer account и выполняем запрос на получение нового сертификата:

cert01

Так как данный этап это эмуляция использование реального внешнего сертификата, были проделаны некоторые подготовительные шаги, а именно:

  • развернут доменный CA,
  • активирован шаблон сертификата Web Server.

Данные шаги выходят за рамки текущей задачи, поэтому мы опустим описание работ по вышеуказанным процедурам.

Вернемся к процессу генерации сертификата.

Выбираем источник выдачи сертификата:

cert02

Выбираем подготовленный шаблон:

cert03

И заполняем необходимые поля:

Нажимаем Enroll:

cert05

И получаем нужный нам сертификат на внешнее доменное имя mail.dzubenko.kiev.ua:

Теперь нам нужно обновить информацию о сертификатах в EMC и мы видим, что новый сертификат там стал доступным:

Еще раз повторю, что описанные действия, это эмуляция получения сертификата из внешнего сертификационного центра, поэтому шаги получения и импорта реального сертификата отличаются от описанных мною выше.

Теперь нам нужно новый сертификат назначить на работу со службами и удалить самоподписной сертификат.

Выполняем последовательно шаги:

cert08
cert09
cert10
cert11

Теперь мы можем удалить самоподписной сертификат

В результате при открытии Outlook пользователи видят ошибку сертификата:

Ошибка закономерна, ведь если мы просмотрим сертификат, можно увидеть, что имя в сертификате указано mail.dzubenko.kiev.ua, а наш Exchange настроен на использовании имя exch2010.dzuba.local

cert13

Исправим это:

В первую очередь нам нужно создать на внутреннем ДНС сервере зону dzubenko.kiev.ua и в ней создать А запись mail с ip адресом нашего Exchange сервера.

cert14
cert15
cert16
cert17
cert18
cert19
cert20

Теперь нам нужно изменить адрес autodiscover.

Так как Outlook находится в доменной среде, поиск он начинает опрашивая AD на наличие SCP (Service Connection Point).

Сейчас ему возвращается следующее значение https://exch2010.dzuba.local/Autodiscover/Autodiscover.xml

cert21

Меняется это значение командлетом:

set-clientaccessserver -identity exch2010 –autodiscoverserviceinternaluri https://mail.dzubenko.kiev.ua/Autodiscover/Autodiscover.xml

Значение атрибута соответственно так же изменяется

cert22

Теперь мы должны изменить url на остальных виртуальных каталогах:

cert23
cert24
cert25
cert26

И последний каталог: Exchange Web Services (EWS)

Set-WebServicesVirtualDirectory -Identity "Exch2010\EWS (Default Web Site)" -InternalUrl https://mail.dzubenko.kiev.ua/ews/exchange.asmx

После всех этих изменений нам нужно перезапустить IIS командой iisreset

cert27

Теперь, если запустить Outlook на рабочей станции ошибки сертификата не возникает, и если запустить проверку автоконфигурации почты мы видим, что все url указывают на mail.dzubenko.kiev.ua

cert28

Ради эксперимента зайдем на рабочую станцию под новым логином и проверим, что новый профиль Outlook создастся без ошибок, OAB закачается без ошибок и доступ на OWA так же работает:

Запускаем Outlook — настройка подключения происходит без ошибок:

cert29
cert30
cert31

При попытке загрузить OAB так же ошибок не возникает:

cert33
cert34

И последним шагом проверим, что OWA так же работает по адресу https://mail.dzubenko.kiev.ua/owa и новый пользователь получает почту:

cert32

Как мы видим, все работает корректно.

Exchange настроен с на работу с сертификатом, в котором указано только внешнее доменное имя организации.

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.