הגדרת Certificate ב Exchange עם שרת Enterprise CA
במאמר זה נסקור את הפצת תעודה אל שרת ה Exchange 2013 שלנו , הסבר Step-by step כיצד להגדיר את השירותים על ידי תעודות וגם כמה הסברים על תעודות חיצוניות
הדרישות: שרת Enterprise CA, או שרת CA אשר ייבאתם לו תעודה ממקור אחר וקיים לו Subordinate CA Enterprise , כמובן שרת Exchange בגרסת 2013
כאשר אתם מנסים להיכנס לECP או ל OWA אתם מקבלים אזהרה לפיה התעודה המגיע משרת זה אינה מאומתת או כאשר משתמש מנסה להתחבר עם Outlook הוא מקבל את האזהרה הבאה:
אזהרה המופיע כאשר משתמש מתחבר לאוטלוק במחשבו
אזהרה זו אומרת שהתעודה המוצגת על ידי שרת זה, אינה מאומתת וממקור בלתי ידוע הסיבה לכך ידוע מראש! למחשב של המשתמש יש רשימה של Trusted Certificate ושרת זה לא ברשימה, אם היינו מגדירים תעודה של GoDaddy או של Verisign אז לא היה כל אזהרה…
כעת אנו נגדיר תעודה לא חיצונית אלה ארגונית בלבד, אשר תוגדר למשתמשים בארגון בלבד לסמוך על תעודה זו
נכנס לEAC \ ECP ונכנס אל הלשונית Servers ובלשונית למעלה היכנסו ל – Certificates
נוסיף תעודה חדשה
לחצו על ה +
וסמנו את האפשרות הראשונה
Create a request for a certificate from a certification authority
CA יכול להיות שרת CA שאתם הרמתם או חברות חיצוניות שהוגדרו על ידי מיקרוסופט כמפיצות תעודות SSL כמו Godaddy או Verisign
האפשרות השניה לא נסמן אותה אבל היא חתימה עצמית Self-signed certificate והיא אומרת שה Exchange ינפיק תעודה לעצמו הבעיה היא כמובן שתאלצו ידנית להגדיר לכל מחשב ברשת את התעודה על מנת שהמחשב יסמוך על חותם התעודה שהוא שרת ה Exchange, בברירת מחדל ואפילו כרגע משתמש ה Exchange בתעודה מסוג זה ולכן אנו מקבלים את האזהרות המופיעות בעת ההתחברות
כמובן שאנו נבחר באפשרות הראשונה
ניצור קובץ בקשה
ניתן שם
ניתן שם קצר לתעודה
לא נגדיר כעת WildCard Certificate , בקצרה WildCard יכול להגדיר בתעודה אחת גם את כל ה Sub domain לדוגמה tal.shushan.co.il יוגדר גם הוא כחלק מהתעודה ה WildCard משתמש בAsterix (כוכבית) על מנת להגדיר שכל Sub domain מוגדר גם הוא כחלק מהתעודה
אל תסמנו כלום ולחצו Next
לא נגדיר כאן כלום, לחצו הבא
בחרו את השרת Exchange
נבחר את שרת ה exchange
במסך זה ניתן להגדיר את הכתובת שהתעודה שניצור תסתמך עליה אם אתם רוצים ששירות נוסף יוגדר תחת התעודה עם כתובת מיוחדת שלכם הכניסו כעת (אל תשכחו להגדיר רשומה בDNS ) לא חייב להזין
לחצו next
לא נגדיר כעת כלום לחצו על הבא
כפי שניתן לראות על פי הבחירות שהגדרנו הכתובות הבאות יוגדרו על ידי התעודה, לחצו על Next
הבא
ניתן את הפרטים של הארגון
פרטי הארגון
נרשום את הנתיב של התעודה (עדיף בתוך תיקיית שיתוף בשרת) חובה לתת לקובץ סיומת Req
ניצור את קובץ הבקשה
ולחצו Finish
ניתן לראות את Pending Request
ניתן לראות את מצב התעודה בממתין כי עדיין לא העלנו את התעודה אל שרת ה EX
ניתן לראות את קובץ הבקשה בתיקיית השיתוף
זהו קובץ הבקשה המכיל את "הבקשה"
כעת פתחו Notepad וגררו את הקובץ אל תוך פנקס הרשימות
חייב להעתיק בדיוק כמו פה ללא רווחים מיותרים
ונעתיק את כל הטקסט
העתק
אנו כעת נשלח בקשה אל שרת הCA בארגון על מנת להגדיר לו תעודה מתוך שרת ה CA שכן רק כך כל המשתמשים בארגון יוכלו להכיר במנפיק (CA) של הארגון ובכך גם להכיר בשרת ה Exchange שלנו
לאחר שהעתקנו ניכנס לכתובת
http://youcaserver.shushan.co.il/certsrv/
כתובת שרת ה CA שלכם עם התוספת certsrv
ולחצו על Request a Certificate
מסומן באדום
ולחצו על Advanced certificate request
מסומן באדום
לאחר מכן האפשרות המסומנת באדום (קצת ארוך)
מסומן באדום
נדביק את כל "הקוד" שהעתקנו ונסמן ב certificate template את האפשרות Web Server ונלחץ על submit
לא לשכוח לסמן Web Server
אם השרת שלכם הוא Enterprise אז נוכל להוריד את התעודה
מסומן באדום
כעת התעודה נמצאת בתיקיית הורדות
התעודה, העתיקו אותה לתיקיית השיתוף
לחיצה כפולה תציג את פרטי התעודה ניתן לראות שהתעודה הופקה על ידי שרת הCA שלי אל שרת ה Exchange שלי
מידע על התעודה
כעת נעבור לECP ונלחץ על הבקשה במצב Pending ונלחץ על Complete (מסומן בתמונה באדום)
מסומן באדום
נעביר את התעודה מהורדות לתיקיית השיתוף ונרשום את הכתובת של התעודה (זכרו הסיומת של התעודה זה CER)
נזין את כתובת התעודה
לחצו OK וניתן לראות שהתעודה הוגדרה בהצלחה!!
אם נלחץ פעמיים על התעודה נוכל גם פה לקבל מידע נוסף על התעודה
פרטים על התעודה
חובה לסמן את הV האחרון IIS ואם חסר V נוספים הגדירו כעת אם התעודה היא עולמית ולא ארגונית סמנו גם את SMTP
סמנו את IIS חובה!!
וSave
כעת נבצע בדיקה, ניכנס לIIS Manager
נלחץ בצד שמאל על ה site (צבע כחול) ובצד ימין על ב Bindings (צבע אדום)
מסומן בכחול ובאדום
נלחץ על השורה שבה רשום פורט 443 (HTTPS)
לדוגמה בלבד ולבדוק שהכל תקין נלחץ על השורה השלישית מהסוף
ניתן לראות שהSSL Certificate מוגדר על התעודה שהנפקנו , מעולה!
ניתן לראות את התעודה שהונפקה לשרת הIIS
וכעת שנכנס דרך מחשב של משתמש (Windows 8.1) ניתן לראות שלא קיבלנו את האזהרה שקיבלנו
אין אזהרה
וניתן לראות שהתעודה תקפה והונפקה על ידי שרת הCA שבארגון
ניתן לראות מי המנפיק ולמי הונפק
