smaxs
Junior Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Кстате хэлпа из шапки пополучению сертификата на русском если кт оне читал.
Действие 1: получите сертификат SSL
Имеется три варианта получения сертификата SSL:
- Вариант 1: используйте самозаверяющий сертификат SSL, устанавливаемый по умолчанию сервером Exchange Server 2007. Это не поддерживается мобильным Outlook и автономной адресной книгой. Exchange ActiveSync потребует установки соответствующего доверенного корневого сертификата.
- Вариант 2: приобретите сертификат SSL в надежном центре сертификации
- Вариант 3: приобретите сертификат SSL в центре сертификации PKI Windows
- При выборе варианта 1 пропустите действия 2 и 3 и перейдите к действию 4.
- При выборе варианта 2 или 3 перейдите к действию 2.
- ПРИМЕЧАНИЕ. Для всех трех вариантов Exchange ActiveSync потребует установки соответствующего доверенного корневого сертификата.
Действие 2: создайте и отправьте запрос сертификата Создайте запрос сертификата для служб SSL.
- Запустите командную консоль Exchange
- Выполните следующую команду, заменив параметры domainname и friendlyname соответствующими значениями: New-ExchangeCertificate -GenerateRequest -domainname mail.contoso.msft,autodiscover.contoso.msft,myserver,myserver.internal.contoso.msft -FriendlyName mail.contoso.msft -privatekeyexportable:$true -path c:\cert_myserver.txt
- Примечание. Параметр "DomainName" используется для заполнения одного или нескольких полных доменных имен или имен серверов в готовом запросе сертификата.
- Примечание. Параметр "FriendlyName" используется для указания понятного имени для готового сертификата. Понятное имя должно быть длиной не более 64 знаков.
- Отправьте запрос на создание сертификата в центр сертификации.
Действие 3: включите сертификат на веб-узле по умолчанию При получении созданного сертификата его необходимо импортировать, а затем включить на веб-узле по умолчанию.
- Импортируйте сертификат с компьютера, на котором выполнялось действие 2. Чтобы импортировать сертификат, выполните следующие действия:
- Запустите командную консоль Exchange
- Выполните следующую команду, где "c:\новый_серт.cer" — это местоположение и имя сертификата: Import-ExchangeCertificate -path c:\новый_серт.cer
- Скопируйте в буфер обмена отпечаток сертификата, который является выборкой данных сертификата, выполнив следующие действия:
- Запустите командную консоль Exchange
- Выполните следующую команду: dir cert:\LocalMachine\My | fl
- Найдите импортированный сертификат по понятному имени из действия 2 и скопируйте свойство "Отпечаток" в буфер обмена Windows.
- Включите сертификат на веб-узле по умолчанию, выполнив следующие действия:
- Запустите командную консоль Exchange
- Выполните следующую команду: enable-ExchangeCertificate -thumbprint [значение, полученное выше] -services "IIS,IMAP,POP"
- Выполнение командлета "enable-ExchangeCertificate" приведет к обновлению сопоставления сертификата. При этом будет заменен самозаверяющий сертификат, установленный по умолчанию при установке Exchange 2007 и настроенный в конфигурации IIS, IMAP4 и POP3.
Действие 4: настройте виртуальные каталоги сервера клиентского доступа для использования SSL Веб-узел IIS по умолчанию требует SSL для всех виртуальных каталогов, кроме автономной адресной книги. Поскольку можно настроить дополнительные виртуальные каталоги, для каждой функции клиентского доступа, которую планируется использовать, необходимо обеспечить использование SSL виртуальным каталогом. Для каждого из перечисленных ниже виртуальных каталогов повторите описанные ниже действия в диспетчере служб IIS, чтобы эти каталоги требовали SSL Для каждого из перечисленных ниже виртуальных каталогов повторите описанные ниже действия в диспетчере служб IIS, чтобы эти каталоги требовали SSL.
- Виртуальный каталог Outlook Web Access 2007: "owa"
- Виртуальные каталоги Outlook Web Access 2003 и WebDAV: "exchange" и "public"
- Виртуальный каталог Exchange ActiveSync: "Microsoft-Server-ActiveSync"
- Виртуальный каталог мобильного Outlook: "Rpc"
- Виртуальный каталог автообнаружения: "Autodiscover"
- Виртуальный каталог веб-служб Exchange: "EWS"
- Виртуальный каталог единой системы обмена сообщениями: "Unified Messaging"
- Виртуальный каталог автономной адресной книги: "OAB"
- Для каждого из перечисленных выше виртуальных каталогов, которые планируется использовать, откройте диспетчер служб IIS и выполните приведенные ниже действия.
- Выберите нужный виртуальный каталог в разделе "Веб-узел по умолчанию", например "owa".
- Щелкните его правой кнопкой мыши и выберите команду "Свойства".
- Выберите вкладку "Безопасность каталога".
- В разделе "Безопасная связь" нажмите кнопку "Изменить…".
- Убедитесь в том, что в диалоговом окне "Безопасная связь" установлены флажки "Требовать SSL" и "Требовать 128-разрядное шифрование".
- Чтобы сохранить изменения, нажмите кнопку "ОК".
- Перезапустите службы POP3 и IMAP4. Для этого откройте средство администрирования служб компонентов Windows, выберите пункт "Microsoft Exchange POP3" или "Microsoft Exchange IMAP4", щелкните его правой кнопкой мыши и выберите команду "Перезапустить". Службы IIS перезапускать не требуется.
Дополнительные сведения о настройке SSL на сервере клиентского доступа Прочтите следующий раздел, чтобы получить дополнительные сведения о SSL на сервере клиентского доступа.
- Управление безопасностью клиентского доступа
|
