Невозможно открыть owa, ecp или ems после удаления самозаверяемого сертификата с веб-сайта exchange back end

Выпуск SSL сертификатов для Exchange сервера

Цифровые сертификаты очень важны в любой Exchange организации. Именно с их помощью обеспечивается защищенный обмен между клиентами и компонентами почтовой инфраструктуры. По умолчанию, Exchange Server настроен на использование протокола TLS с помощью самоподписанных сертификатов. Однако, для подключения Outlook клиентов такая конфигурация не совсем корректна. В качестве решения, рекомендуется использовать корпоративную PKI инфраструктуру, на базе ADCS. Службы сертификатов будут работать внутри корпоративного периметра обеспечивая поддержку не только Exchange, но и других криптографических задач предприятия.

Для выпуска сертификата, переходим во вкладку (servers) и открываем раздел (certificates).  Заказываем выпуск нового сертификата:

Выпуск сертификата для Exchange

Выбираем первый пункт (Create a request for a certificate from a certification authority) так как использование самоподписанных сертификатов не предполагается:

Выбор типа сертификата в Exchange

Указываем отображаемое имя будущего сертификата:

Задание имени будущего сертификата Exchange

Далее, возможно настроить получение сертификата типа wildcard. Хоть и последние версии Exchange корректно работают с данным типом, я предпочитаю его не использовать. Оставляем без изменений и переходим на следующую страницу.

Возможность создания wildcard сертификата Exchange

Указываем сервер на котором будет создан сертификат, т. к. закрытый ключ ключевой пары не покидает Exchange сервер:

Указание сервера Exchange где будет выпущен SSL сертификат

Следующий шаг пропускаем не меняя настройки. Далее, подправляем домены на следующие:

  • mail.corp.ait.in.ua
  • mail.ait.in.ua
  • autodiscover.ait.in.ua
  • autodiscover.corp.ait.in.ua
  • kv-ex01
  • kv-ex01.corp.ait.in.ua

Добавление доменов в SSL сертификат

где, ait.in.ua почтовый домен и corp.ait.in.ua — домен Active Directory. kv-ex01 и kv-ex01.corp.ait.in.ua — имена сервера. Запись autodiscover необходима для функционирования сервиса автоматического обнаружения почтовой конфигурации клиентами Outlook и ActiveSync. Она должна обязательно присутствовать в теле сертификата.

Задание дополнительных параметров для выпуска сертификата Exchange

На следующем шаге необходимо определить расположение для сохранения CSR запроса. В последствии, он будет передан во внешним ЦС. Так как учетная запись Exchange сервера является членом группы Trasted Sybsystems, возможно использовать общими административными каталогами. Для этого указываем следующий UNC путь — \\kv—ex01.corp.ait.in.ua\C$\req.req Файл req.req содержащий CSR запрос будет создан в корне системного диска.

Задание расположения CSR запроса

Для задачи подписания, можно воспользоваться Certificate Enrollment Web Service. Этот компонент упрощает процесс предоставляя веб приложения для этих целей. По умолчанию, CEWS доступен в каталоге certsrv сервера.

Перейдя на него, необходимо заказать запрос сертификата (Request a certificate).

Запрос выпуска сертификата в Certificate Enrollment Web Service

Выбираем расширенный тип запроса (advanced certificate request):

Расширенный запрос сертификата

Вставляем содержимое CSR запроса. Из списка доступных шаблонов сертификатов выбираем Web Server:

Подписание сертификата для Exchange

Скачиваем файл цифрового сертификата:

Загрузка сертификата с Certificate Enrollment Web Service

Загружаем сертификат в корень системного диска Exchange сервера:

Загрузка цифрового сертификата на Exchange

В той же вкладке certificates необходимо завершить процедуру выпуска «подложив» подписанный сертификат. Для этого выбираем действие Complete:

Завершение выпуска сертификата Exchange

В открывшейся окне указываем UNC путь к файлу, который ранее был загружен в корень системного диска.

Указание UNC пути к CER файлу в Exchange

После завершения операции, сертификат готов к использованию в компонентах сервера. Для его назначения сервисам нажимаем на иконку «карандаш»:

Открытие свойств сертификата Exchange

и выбираем сервисы IIS, SMTP:

Назначение сертификата на сервисы Exchange

После применения, необходимо перезапустить браузер. При условии корректно настроенных служб сертификатов Active directory предупреждение о недоверенном сертификате в строке браузера должно исчезнуть. Клиенты Outlook также не выдадут предупреждение при попытке подключения к серверу.

Получение сертификата в ЦС при необходимости

Если у вас уже есть соответствующий сертификат в хранилище персональных сертификатов сервера WSUS, пропустите этот раздел и начните с раздела Чтобы отправить запрос сертификата во внутренний ЦС для установки нового сертификата, следуйте инструкциям в этом разделе.

  1. На сервере WSUS откройте команду администратора и запустите . Учетная запись пользователя должна быть локальным администратором для управления сертификатами для локального компьютера.

    Отображается средство Диспетчер сертификатов для локального устройства.

  2. Расширь личный, а затем правой кнопкой мыши по сертификатам.

  3. Выберите все задачи, а затем запросить новый сертификат.

  4. Выберите Далее, чтобы приступить к регистрации сертификата.

  5. Выберите тип сертификата для регистрации. Целью сертификата является проверка подлинности сервера, а шаблон сертификата Майкрософт — веб-сервер или настраиваемый шаблон с проверкой подлинности сервера, указанный в качестве расширенного использования ключей. Вам могут быть предложены дополнительные сведения для регистрации сертификата. Как правило, необходимо указать следующую информацию как минимум:

    • Общее имя: На вкладке Subject задай значение FQDN сервера WSUS.
    • Удобное имя: На вкладке General установите значение описательным именем, которое поможет определить сертификат позже.
  6. Выберите Регистрация, после чего завершите регистрацию.

  7. Откройте сертификат, если вы хотите увидеть сведения о нем, такие как отпечатки пальцев сертификата.

Совет

Если ваш сервер WSUS находится в Интернете, в сертификате вам потребуется внешний FQDN в области Subject или Subject Alternative Name (SAN).

Выпуск сертификата

Для начала сохраним сертификат корневого центра, чтобы потом распространить его через групповые политики (немного забегаю вперед):

Снова заходим на стартовую страницу центра сертификации теперь уже для получения сертификата Exchange 2013. Идем по порядку как на скриншотах:

Вот тут начинается самое интересное. Нужно выбрать шаблон сертификата «Веб-сервер», но в выпадающем списке у меня его не было! Причина крылась в правах: сеанс браузере был открыт из под пользователя без прав администратора домена или администратора организации. Почему-то по легкому пути (открыть браузер под админом домена) я не пошел, у меня даже не возникло такой мысли и я решил таки выдать права нужному юзеру. Для этого на сервере сертификации заходим в оснастку «Шаблоны сертификатов» и ищем шаблон «Веб-сервер». После чего в свойствах даем необходимые права вашей учетке:

Теперь у вас есть все шансы получить нужный сертификат, выбрав шаблон, к которому вы только что настраивали права:

У нас был запрос на получение сертификата в центре администрирования Exchange и есть готовый сертификат. Выполняем запрос и назначаем сертификату необходимые сервисы (значок карандашика в EAC , далее «Службы», должны быть выбраны как минимум «SMTP» и «IIS», при сохранении изменений вам будет предложено перезаписать используемый сертификат новым, соглашаемся)

Стоит отметить, что на этом ваши проблемы только начинаются, ведь по умолчанию у юзеров новый сертификат не будет являться надежным и аутлук работать откажется. Чтобы не оставить всю компанию без почты (никто ведь не догадается зайти в OWA), просто распространим сертификат через групповые политики. Нам будет нужен не сертификат Exchange 2013 (хотя можете и засунуть его за компанию, хуже не сделаете точно), а сертификат корневого центра сертификации, на котором мы получали сертификат для Exchange. Кстати, этот сертификат мы сохранили ранее (см. текст выше) и снова за ним лезть не придется. В оснастке групповых политик (gpmc.msc — Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики открытого ключа — Доверенные корневые центры сертификации) импортируем сертификат и на этом все. Вообще подробно сам процесс описан в одной неплохой статье , Для нас же это не основная тематика и задача по большому счету завершена — создан запрос сертификата Exchange 2013, выпущен новый сертификат.

Notes:

  1. Managing Certificates in Exchange Server 2010 (Part 1)
  2. Установка Exchange Server 2013 – часть 3
  3. Alexxhost
  4. How to Request a Certificate With a Custom Subject Alternative Name
  5. Configure Internal Windows CA to issue SAN certificates
  6. Публикация Exchange 2010 – “сертификация”
  7. Центр администрирования Exchange в Exchange 2013
  8. Установка сертификата при помощи групповых политик.

comments powered by HyperComments

Используйте оболочку Exchange управления для создания нового запроса сертификата

Чтобы создать запрос на групповой сертификат, сертификат SAN или сертификат для одного узла, используйте следующий синтаксис:

В этом примере создается запрос сертификата на локальном сервере Exchange для сертификата под диктовки со следующими свойствами:

  • SubjectName: * .contoso.com в США, которое требует значения .

  • RequestFile:

  • FriendlyName: Contoso.com Поддиавная карточка Cert

В этом примере создается запрос сертификата на локальном Exchange для сертификата SAN со следующими свойствами:

SubjectName: mail.contoso.com в США, которое требует значения

Обратите внимание, что это значение CN автоматически включается в параметр DomainName (в поле Subject Alternative Name).

Дополнительные значения поля Subject Alternative Name:

autodiscover.contoso.com

legacy.contoso.com

mail.contoso.net

autodiscover.contoso.net

legacy.contoso.net

RequestFile:

FriendlyName: Contoso.com SAN Cert

DomainName. Список доменов, разделенных запятой, не запятой

Пример создания запроса сертификата для одного узла со следующими свойствами:

  • SubjectName: mail.contoso.com в США, которое требует значения .

  • RequestFile:

  • FriendlyName: Mail.contoso.com Cert

Примечания.

  • Единственная необходимая часть значения параметров SubjectName X.500 (поле Subject) сертификата . Однако запрос сертификата всегда должен включать значение (в противном случае вы не сможете продлить сертификат). Ознакомьтесь с требованиями центра сертификации к заполнению поля Subject.

  • Параметр RequestFile принимает локальный путь или путь UNC.

  • Мы не использовали переключатель BinaryEncoded, поэтому запрос закодирован в Base64. Данные, отображаемые на экране, также записываются в файл, а содержимое файла это то, что нам нужно отправить в ЦС. Если бы мы использовали переключатель BinaryEncoded, запрос был бы закодирован DER, а сам файл запроса сертификата должен был бы отправляться в ЦС.

  • Мы не использовали параметр KeySize, поэтому запрос сертификата имеет общедоступный ключ RSA 2048 бита.

  • Дополнительные сведения см. в статье New-ExchangeCertificate.

Настройка разгрузки SSL для Outlook Anywhere

По умолчанию разгрузка SSL для мобильного Outlook включена. Клиенты мобильного Outlook могут получать сообщения электронной почты из частной или общедоступной сети. По умолчанию, чтобы разрешить подключение внутренним клиентам Outlook, используется имя внутреннего узла или полное доменное имя сервера. Но если мобильный Outlook не используется во внутренней среде, необходимо удалить имя внутреннего узла. Чтобы разрешить внутренний и внешний доступ для клиентов Outlook, требуется настроить имена внутреннего и внешнего узла, задать для них способ проверки подлинности и настроить внутренние и внешние клиенты так, чтобы они требовали использование SSL. Способ проверки подлинности внешних клиентов можно настроить с помощью EAC или командной консоли Exchange, но для внутренних клиентов необходимо использовать командную консоль:

  • Шаг 1. Вы можете использовать EAC или Shell, если вы не добавили внешнее имя хоста для Outlook в любом месте:

    • В EAC откройте раздел Серверы, выберите имя сервера клиентского доступа, а затем нажмите кнопку Изменить. В окне Exchange Server щелкните Outlook Anywhere и в поле Укажите имя внешнего узла (например, contoso.com), с помощью которого пользователи будут подключаться к вашей организации введите имя внешнего узла. Убедитесь, что флажок Разрешить разгрузку SSL установлен, и нажмите кнопку Сохранить.

    • В командной консоли Exchange нажмите Пуск и в меню Пуск щелкните Командная консоль Exchange. В открывшемся окне введите следующую команду и нажмите клавишу ВВОД:

  • Шаг 2. По умолчанию включена разгрузка SSL. Но вы можете использовать EAC или командную консоль Exchange, если разгрузка SSL была отключена и вам требуется ее включить:

    • В EAC откройте раздел Серверы, выберите имя сервера клиентского доступа, а затем нажмите кнопку Изменить. В окне Exchange Server нажмите кнопку Outlook в любом месте , нажмите кнопку Разрешить разгрузку SSL, а затем нажмите кнопку Сохранить.

    • В командной консоли введите следующую команду и нажмите клавишу ВВОД:

  • Шаг 3. По умолчанию в виртуальном каталоге RPC не выбрано значение Require SSL, но если вы хотите убедиться, что SSL отключен, можно использовать диспетчер службы IIS IIS.

    В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог Rpc. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL убедитесь, что флажок Требовать SSL снят, и нажмите кнопку Применить в области действий.

  • Шаг 4. Необходимо повторно использовать правильный пул приложений или перезапустить службы IIS с помощью одного из следующих методов:

    • Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:

    • Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.

Важно!

Необходимо дождаться того, что процесс узла службы применит все изменения из Active Directory в службах IIS (что происходит каждые 15 минут), даже если вы перезапустите службы IIS на сервере клиентского доступа.

Рекомендации по сертификатам Exchange

Хотя конфигурация цифровых сертификатов в организации изменяется в зависимости от текущих потребностей, эти рекомендации помогут вам подобрать оптимальную конфигурацию цифровых сертификатов.

  • Используйте как можно меньше сертификатов. Очень вероятно, что это означает использование сертификатов SAN или сертификатов подпольных карт. С точки зрения связи с Exchange оба функционально эквивалентны. Решение о том, следует ли использовать сертификат SAN против сертификата под диктовки, больше о ключевых возможностях или ограничениях (реальные или воспринимаемые) для каждого типа сертификата, как описано в обзоре цифровых сертификатов

    Например, если все общие имена будут находиться на одном уровне contoso.com, не имеет значения, какой сертификат использовать (SAN или групповой). Но для autodiscover.contoso.com, autodiscover.fabrikam.com и autodiscover.northamerica.contoso.com необходимо использовать сертификат SAN.

  • Используйте сертификаты из коммерческого ЦС для клиентских и внешних подключений к серверу. Хотя большинство клиентов могут доверять любому эмитенту сертификата или сертификата, гораздо проще использовать сертификат из коммерческого ЦС для клиентских подключений к Exchange серверам. Клиенту не требуется конфигурация, чтобы доверять сертификату, выданным коммерческим ЦС. Многие коммерческие CAs предлагают сертификаты, настроенные специально для Exchange. Вы можете использовать EAC или Exchange для создания запросов сертификатов, которые работают с большинством коммерческих ЦС.

  • Выберите правильный коммерческий центр сертификации: сравните цены и функции сертификатов между ЦС. Например:

    • Убедитесь, что центру сертификации доверяют клиенты (операционные системы, браузеры и мобильные устройства), которые подключаются к серверам Exchange.

    • Убедитесь, что ЦС поддерживает необходимый вам сертификат. Например, не все ЦС поддерживают сертификаты SAN, ЦС может ограничивать количество допустимых общих имен в сертификате SAN или взимать дополнительную плату исходя из количества общих имен в сертификате SAN.

    • Узнайте, предоставляет ли ЦС льготный период, в течение которого в сертификаты SAN можно бесплатно добавлять дополнительные общие имена.

    • Убедитесь, что лицензия позволяет использовать сертификат на нужном количестве серверов. Некоторые ЦС позволяют использовать сертификат только на одном сервере.

  • Используйте мастер Exchange сертификата. Распространенная ошибка при создании сертификатов — забыть одно или несколько распространенных имен, необходимых для служб, которые вы хотите использовать. Мастер сертификатов в центре администрирования Exchange поможет включить правильный список общих имен в запрос сертификата. Мастер позволяет указать службы, которые будут использовать сертификат, и включает общие имена, необходимые для этих служб. Запустите мастер сертификатов при развертывании исходного набора серверов Exchange 2016 или Exchange 2019 г. и определите, какие имена хостов будут использовать для различных служб для развертывания.

  • Используйте как можно меньше имен хостов. Минимизация числа имен хостов в сертификатах SAN снижает сложность управления сертификатами. Не чувствуйте себя обязанными включать имена отдельных серверов Exchange в сертификаты SAN, если это не требуется для использования для сертификата. Как правило, необходимо включать имена DNS, которые представлены внутренним клиентам, внешним клиентам или внешним серверам, которые используют сертификат для подключения к Exchange.

    Для простой Exchange Server организации с именем Contoso это гипотетический пример минимальных имен хостов, которые потребуются:

    • mail.contoso.com. Это имя хост охватывает большинство подключений к Exchange, включая Outlook, Outlook в Интернете, рассылку OAB, Exchange веб-службы, Exchange центр администрирования и Exchange ActiveSync.

    • autodiscover.contoso.com. Это конкретное имя хост-сайта требуется клиентам, которые поддерживают автонаруже, включая Outlook, Exchange ActiveSync и Exchange веб-службы. Дополнительные сведения см. в службе автооткрытия.

Вышел срок действия сертификата Exchange

Процесс перевыпуска или запроса новых сертификатов очень важен для организаций, ведь на SSL сейчас основаны практически все клиент-серверные приложения

Особенно нужно обращать на это внимание в том случае, если у вас внедрены одни и те же wildcard-сертификаты на множестве серверов

Стоит отметить, что задачи, связанные с управлением сертификатами (для Exchange и не только), являются чуть ли не самыми разжеванными в интернете. Тем не менее, на форумах Technet вопросы с сертификатами стабильно лидируют по популярности. Именно поэтому я не прекращаю писать об этих темах статьи.

Как это бывает

Помимо проблем с несвоевременным продлением, вам может также встретиться ситуация с отзывом сертификата со стороны выпускающего центра. Это может случиться в том случае, если вы установили свеженький сертификат, а счет, который центр сертификации присылает позже, оплатить забыли. Это вполне возможно, ведь сертификат вы получаете практически сразу после прохождения всех проверок (проверка по домену или по организации или др.), а счет нужно оплатить уже постфактум.

Примечание: обычно срок оплаты выпущенного сертификата составляет две недели, но все зависит от отношений вашей организации и центром сертификации. По личным договоренностям вы можете продлить срок оплаты. Также перед отзывом сертификата вас обязательно предупредят менеджеры ЦС, при том сделают это несколько раз.

Если вдруг вы нарвались на отзыв сертификата, то попасть даже в ECP у вас не получится. Вот что покажет браузер:

Как видите, кнопочки Продолжить открытие этого веб-сайта (не рекомендуется) тут нет, а следовательно придется поработать ручками в консоли.

Запрос сертификата

Есть несколько путей, чтобы выполнить процедуру генерации CSR-запроса. Самый простой из них — через оснастку Диспетчер служб IIS, который я рассматривал в статье . В этой же статья я рассмотрю более «хардкорный» вариант, когда запрос надо сгенерировать из консоли EMS . Итак, сделать это можно командой как в примере ниже:

PowerShell

New-ExchangeCertificate -GenerateRequest -RequestFile ‘\\exch01\c$\tmp\cert_01\cert_01.req’ -FriendlyName ‘cert_01’ -SubjectName ‘CN=mail.domain.com’ -DomainName autodiscover.domain.com,mail.domain.com

1 New-ExchangeCertificate-GenerateRequest-RequestFile’\\exch01\c$\tmp\cert_01\cert_01.req’-FriendlyName’cert_01′-SubjectName’CN=mail.domain.com’-DomainNameautodiscover.domain.com,mail.domain.com

Примечание: если вдруг надо указать данные об организации, вы можете это сделать внутри параметра -SubjectName, например -SubjectName , CN=<HostNameOrFQDN>.

Папка \\exch01\c$\tmp\cert_01\ должна существовать. После выполнения команды там будет лежать CSR-запрос cert_01.req. С его помощью вы сможете получить сертификат в локальном доменном ЦС, либо отправить его публичному ЦС.

Установка сертификата

Результатом отправки CSR-запроса в ЦС должно быть получение файла с расширением .crt (.cer) и возможно других (сертификаты промежуточных центров). Поместим этот файл (в моем случае он имеет имя certnew.cer) в папку \\exch01\c$\tmp\cert_01\. Далее необходимо завершить запрос на получение командой:

PowerShell

Import-ExchangeCertificate -FileName ‘\\exch01\c$\tmp\cert_01\certnew.cer’

1 Import-ExchangeCertificate-FileName’\\exch01\c$\tmp\cert_01\certnew.cer’

Примечание: логично, что завершать запрос на получение сертификата нужно на том же сервере, на котором этот запрос когда-то был сгенерирован.

Посмотреть существующие сертификаты, доступные для использования сервером Exchange, можно командой:

PowerShell

Get-ExchangeCertificate | ft -AutoSize

1 Get-ExchangeCertificate|ft-AutoSize

Запомните значение Thumbprint сертификата, для которого вы только что завершили запрос. Это нужно, чтобы назначить этот сертификат необходимым службам Exchange. Делается это командой:

PowerShell

Enable-ExchangeCertificate -Thumbprint BD75E1B8C3B4D7306152BA4DFBF13C5DE1EB5195 -Services POP,IMAP,IIS,SMTP

1 Enable-ExchangeCertificate-ThumbprintBD75E1B8C3B4D7306152BA4DFBF13C5DE1EB5195-ServicesPOP,IMAP,IIS,SMTP

Осталось только перезапустить IIS (можно это сделать через оснастку Службы, полное название IIS — Служба веб-публикаций (W3SVC)):

PowerShell

Restart-Service W3SVC

1 Restart-ServiceW3SVC

Теперь снова можете пользоваться ECP. Если сертификат был получен у локального ЦС, то возможно придется раскидать его по каким-то клиентам вручную, либо через GPO (как это сделать, читайте в статье ).

Notes:

  1. Create an Exchange Server certificate request for a certification authority

comments powered by HyperComments

Решение

Используйте средство certreq.exe для обновления сертификата агента Exchange регистрации (автономного запроса) следующими действиями:

  1. Создайте файл с именем Request.inf со следующим содержимым:

    Примечание

    Файл INF содержит параметры ввода, определяя параметры запроса сертификата. В вышеуказанном файле INF он сообщает средству командной строки certreq.exe сертификат с указанным hash сертификата. Вы можете получить хэш сертификата Exchange агента регистрации (автономного запроса), копируя значение сертификата «t h umbprint» расширения, извлеченного из вкладки «Сведения сертификата». Например, если отпечатком сертификата является «5 3 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55», необходимо изменить содержимое в строки ниже:

    Примечание

    MachineKeySet имеет значение «True», поэтому сертификат и его закрытый ключ будут храниться в хранилище сертификатов компьютера.

    Примечание

    Чтобы открыть хранилище сертификатов компьютера, обратитесь к следующей статье technet: Добавление привязки сертификатов в привязки сертификатов в MMC

  2. Запустите следующие три команды, чтобы обновить старый сертификат агента регистрации:

    Примечание

    • Для выполнения вышеуказанных действий вам потребуется административные разрешения и разрешение на регистрацию сертификатов. Если вашему запросу на регистрацию необходимо дождаться утверждения диспетчера ca, обратитесь к вашему менеджеру ca для утверждения запроса. Или предопольвите файл запроса, созданный в первой команде, менеджеру ЦС и попросите сертификат, чтобы мы могли использовать третью команду для установки сертификата.
    • Вышеперечисленные действия применимы к ситуации, когда шаблон сертификата по умолчанию используется для NDES. В случае, если NDES настроена на использование определенного шаблона, измените содержимое файла inf соответственно. Дополнительные сведения о синтаксисе файла запросов можно найти в следующей статье:Приложение 3: Certreq.exe синтаксис
    • При запуске первой команды выше всплывет диалоговое окно, чтобы подтвердить сертификат, который необходимо возобновить. Убедитесь, что выбран старый сертификат агента регистрации и нажмите кнопку ОК.
    • Во второй команде всплывет еще одно диалоговое окно, позволяющее выбрать сервер CA для выдачи обновленного сертификата агента регистрации. Выберите соответствующий ЦС и нажмите кнопку ОК.

Замена сертификата федерации с истекшим сроком действия

Если срок действия сертификата федерации уже истек, вам нужно удалить все федеративные домены из доверия федерации, а затем удалить и заново создать доверие федерации.

  1. Если у вас несколько федеративных доменов, основной общий домен необходимо удалить в последнюю очередь. Чтобы определить основной общий домен и все федеративные домены с помощью командной консоли Exchange, выполните следующую команду:

    Значение свойства AccountNamespace содержит основной общий домен в формате . Например, в значении contoso.com является основным общим доменом.

  2. Удалите все федеративные домены, кроме общего основного домена, выполнив следующую команду в командной консоли Exchange:

  3. После этого удалите общий основной домен, выполнив следующую команду в командной консоли Exchange:

  4. Удалите доверие федерации, выполнив следующую команду в командной консоли Exchange:

  5. Создайте доверие федерации заново. Инструкции см. в перенастройке доверия федерации.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: