Home PlatformsExchange 2013 הגדרת Certificate ב Exchange עם שרת Enterprise CA

הגדרת Certificate ב Exchange עם שרת Enterprise CA

by Tal Ben Shushan 02/04/2014 0 comment
הגדרת Certificate ב Exchange עם שרת Enterprise CA
נהנתם מהמאמר ? שתפו אותו!

הגדרת Certificate ב Exchange עם שרת Enterprise CA

במאמר זה נסקור את הפצת תעודה אל שרת ה Exchange 2013 שלנו , הסבר Step-by step כיצד להגדיר את השירותים על ידי תעודות וגם כמה הסברים על תעודות חיצוניות

הדרישות: שרת Enterprise CA, או שרת CA אשר ייבאתם לו תעודה ממקור אחר וקיים לו Subordinate CA Enterprise , כמובן שרת Exchange בגרסת 2013

כאשר אתם מנסים להיכנס לECP או ל OWA אתם מקבלים אזהרה לפיה התעודה המגיע משרת זה אינה מאומתת או כאשר משתמש מנסה להתחבר עם Outlook הוא מקבל את האזהרה הבאה:

אזהרה המופיע כאשר משתמש מתחבר לאוטלוק במחשבו

אזהרה המופיע כאשר משתמש מתחבר לאוטלוק במחשבו

אזהרה זו אומרת שהתעודה המוצגת על ידי שרת זה, אינה מאומתת וממקור בלתי ידוע הסיבה לכך ידוע מראש! למחשב של המשתמש יש רשימה של Trusted Certificate ושרת זה לא ברשימה, אם היינו מגדירים תעודה של GoDaddy או של Verisign אז לא היה כל אזהרה…

כעת אנו נגדיר תעודה לא חיצונית אלה ארגונית בלבד, אשר תוגדר למשתמשים בארגון בלבד לסמוך על תעודה זו

נכנס לEAC \ ECP ונכנס אל הלשונית Servers ובלשונית למעלה היכנסו ל – Certificates

נוסיף תעודה חדשה

נוסיף תעודה חדשה

לחצו על ה +

וסמנו את האפשרות הראשונה

Create a request for a certificate from a certification authority

CA יכול להיות שרת CA שאתם הרמתם או חברות חיצוניות שהוגדרו על ידי מיקרוסופט כמפיצות תעודות SSL כמו Godaddy או Verisign

האפשרות השניה לא נסמן אותה אבל היא חתימה עצמית Self-signed certificate והיא אומרת שה Exchange ינפיק תעודה לעצמו הבעיה היא כמובן שתאלצו ידנית להגדיר לכל מחשב ברשת את התעודה על מנת שהמחשב יסמוך על חותם התעודה שהוא שרת ה Exchange, בברירת מחדל ואפילו כרגע משתמש ה Exchange בתעודה מסוג זה ולכן אנו מקבלים את האזהרות המופיעות בעת ההתחברות

כמובן שאנו נבחר באפשרות הראשונה

ניצור קובץ בקשה

ניצור קובץ בקשה

ניתן שם

ניתן שם קצר לתעודה

ניתן שם קצר לתעודה

לא נגדיר כעת WildCard Certificate , בקצרה WildCard יכול להגדיר בתעודה אחת גם את כל ה Sub domain לדוגמה tal.shushan.co.il יוגדר גם הוא כחלק מהתעודה  ה WildCard משתמש בAsterix (כוכבית) על מנת להגדיר שכל Sub domain מוגדר גם הוא כחלק מהתעודה

אל תסמנו כלום ולחצו Next

לא נגדיר כאן כלום, לחצו הבא

לא נגדיר כאן כלום, לחצו הבא

בחרו את השרת Exchange

נבחר את שרת ה exchange

נבחר את שרת ה exchange

במסך זה ניתן להגדיר את הכתובת שהתעודה שניצור תסתמך עליה אם אתם רוצים ששירות נוסף יוגדר תחת התעודה עם כתובת מיוחדת שלכם הכניסו כעת (אל תשכחו להגדיר רשומה בDNS ) לא חייב להזין

לחצו next

לא נגדיר כעת כלום לחצו על הבא

לא נגדיר כעת כלום לחצו על הבא

כפי שניתן לראות על פי הבחירות שהגדרנו הכתובות הבאות יוגדרו על ידי התעודה, לחצו על Next

הבא

הבא

ניתן את הפרטים של הארגון

פרטי הארגון

פרטי הארגון

נרשום את הנתיב של התעודה (עדיף בתוך תיקיית שיתוף בשרת) חובה לתת לקובץ סיומת Req

ניצור את קובץ הבקשה

ניצור את קובץ הבקשה

ולחצו Finish

ניתן לראות את Pending Request

ניתן לראות את מצב התעודה בממתין כי עדיין לא העלנו את התעודה אל שרת ה EX

ניתן לראות את מצב התעודה בממתין כי עדיין לא העלנו את התעודה אל שרת ה EX

ניתן לראות את קובץ הבקשה בתיקיית השיתוף

זהו קובץ הבקשה המכיל את "הבקשה"

זהו קובץ הבקשה המכיל את “הבקשה”

כעת פתחו Notepad וגררו את הקובץ אל תוך פנקס הרשימות

חייב להעתיק בדיוק כמו פה ללא רווחים מיותרים

חייב להעתיק בדיוק כמו פה ללא רווחים מיותרים

ונעתיק את כל הטקסט

העתק

העתק

אנו כעת נשלח בקשה אל שרת הCA בארגון על מנת להגדיר לו תעודה מתוך שרת ה CA שכן רק כך כל המשתמשים בארגון יוכלו להכיר במנפיק (CA) של הארגון ובכך גם להכיר בשרת ה Exchange שלנו

לאחר שהעתקנו ניכנס לכתובת

http://youcaserver.shushan.co.il/certsrv/

כתובת שרת ה CA שלכם עם התוספת certsrv

ולחצו על Request a Certificate

מסומן באדום

מסומן באדום

ולחצו על Advanced certificate request

מסומן באדום

מסומן באדום

לאחר מכן האפשרות המסומנת באדום (קצת ארוך)

מסומן באדום

מסומן באדום

נדביק את כל “הקוד” שהעתקנו ונסמן ב certificate template את האפשרות Web Server ונלחץ על submit

לא לשכוח לסמן Web Server

לא לשכוח לסמן Web Server

אם השרת שלכם הוא Enterprise אז נוכל להוריד את התעודה

מסומן באדום

מסומן באדום

כעת התעודה נמצאת בתיקיית הורדות

התעודה, העתיקו אותה לתיקיית השיתוף

התעודה, העתיקו אותה לתיקיית השיתוף

לחיצה כפולה תציג את פרטי התעודה ניתן לראות שהתעודה הופקה על ידי שרת הCA שלי אל שרת ה Exchange שלי

מידע על התעודה

מידע על התעודה

כעת נעבור לECP ונלחץ על הבקשה במצב Pending ונלחץ על Complete (מסומן בתמונה באדום)

מסומן באדום

מסומן באדום

נעביר את התעודה מהורדות לתיקיית השיתוף ונרשום את הכתובת של התעודה (זכרו הסיומת של התעודה זה CER)

נזין את כתובת התעודה

נזין את כתובת התעודה

לחצו OK וניתן לראות שהתעודה הוגדרה בהצלחה!!

אם נלחץ פעמיים על התעודה נוכל גם פה לקבל מידע נוסף על התעודה

פרטים על התעודה

פרטים על התעודה

חובה לסמן את הV האחרון IIS ואם חסר V נוספים הגדירו כעת אם התעודה היא עולמית ולא ארגונית סמנו גם את SMTP

סמנו את IIS חובה!!

סמנו את IIS חובה!!

וSave

כעת נבצע בדיקה, ניכנס לIIS Manager

נלחץ בצד שמאל על ה site (צבע כחול) ובצד ימין על ב Bindings (צבע אדום)

מסומן בכחול ובאדום

מסומן בכחול ובאדום

נלחץ על השורה שבה רשום פורט 443 (HTTPS)

לדוגמה בלבד ולבדוק שהכל תקין נלחץ על השורה השלישית מהסוף

לדוגמה בלבד ולבדוק שהכל תקין נלחץ על השורה השלישית מהסוף

ניתן לראות שהSSL Certificate מוגדר על התעודה שהנפקנו , מעולה!

ניתן לראות את התעודה שהונפקה לשרת הIIS

ניתן לראות את התעודה שהונפקה לשרת הIIS

וכעת שנכנס דרך מחשב של משתמש (Windows 8.1) ניתן לראות שלא קיבלנו את האזהרה שקיבלנו

אין אזהרה

אין אזהרה

וניתן לראות שהתעודה תקפה והונפקה על ידי שרת הCA שבארגון

ניתן לראות מי המנפיק ולמי הונפק

ניתן לראות מי המנפיק ולמי הונפק

מאמרים קשורים

Leave a Comment