Updating Self-signed Exchange 2016 certificates

Question

Доброго дня!

Подскажите правильный алгоритм продления самоподписанных сертификатов почтовой системы. По интернету много противоречивых сведений, зачастую предлагается противоположные решения. Тестового полигона у меня нет и проверить мне негде.

У меня два сервера и на каждом есть такие сертификатов (которые скоро заканчиваются): сервер RN14:

1 Microsoft Exchange Server Auth Certificate, Самозаверяющий сертификат, Срок действия истекает: 09.11.2024 Назначено службам SMTP

2 Microsoft Exchange, Самозаверяющий сертификат, Издатель: CN=RN14, Срок действия истекает: 06.12.2024 Назначено службам IMAP, POP, IIS, SMTP

3 Exchange Delegation Federation, Самозаверяющий сертификат, Издатель: CN=Federation, Срок действия истекает: 26.08.2025 Назначено службам SMTP, Federation

4 Microsoft Exchange, Самозаверяющий сертификат, Издатель: CN=RN14, Срок действия истекает: 29.01.2029 Назначено службам IMAP, POP, SMTP

5 WMSVC-SHA2, Самозаверяющий сертификат Издатель: CN=WMSvc-SHA2-RN4 Назначено службам НЕТ

сервер RN15

1 Microsoft Exchange Server Auth Certificate, Срок действия истекает: 09.11.2024 Назначено службам SMTP

2 Microsoft Exchange Самозаверяющий сертификат Издатель: CN=RN15 Назначено службам IMAP, POP, IIS, SMTP

3 Exchange Delegation Federation Срок действия истекает: 26.08.2025 Назначено службам SMTP, Federation

4 WMSVC-SHA2 Срок действия истекает: 03.12.2029 Назначено службам НЕТ

Насколько я понимаю продлить истекающие сертификаты можно через ECP, нажать "продлить" и затем перезапустить IIS ну или на крайний случай сервер презапустить. Проделать такую же манипуляцию и на втором сервере.

Правильно я мыслю? интересует еще момент - что после нажатия "продлить" - будут ли еще какие-то манипуляции?

Answer 1

Hi, @Valeriy Soldatov

Thanks for posting your question in the Microsoft Q&A forum.

According to your description, you want to know how to renew a self-signed certificate. You can try the following steps to do it through the Exchange Management Shell.

1. First, use the command to find the thumbprint value of the certificate.

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Just like the following screenshoot:

2. According to the thumbprint value of the certificate to be renewed, use the command to renew the certificate.

Get-ExchangeCertificate -Thumbprint 9942FCB458F5359D8348363F62CFEACCD6E44407 | New-ExchangeCertificate -Force -PrivateKeyExportable $true

Just like the following screenshoot:

3. After completion, you can use the command to check whether the certificate is renewed successfully.

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Just like the following screenshoot:

Refer to: Renew an Exchange Server certificate | Microsoft Learn.

Please feel free to contact me if you have any queries.

Best,

Jeanne