Поделиться через


Назначение сертификатов службам Exchange Server

После установки сертификата на сервере Exchange Server необходимо назначить сертификат одной или нескольким службам Exchange, прежде чем сервер Exchange сможет использовать сертификат для шифрования. Вы можете назначать сертификаты службам через Центр администрирования Exchange (EAC) или командную консоль Exchange. Назначение сертификата службе невозможно удалить. Если вы больше не хотите использовать сертификат для определенной службы, назначьте ей другой сертификат и удалите ненужный.

В следующей таблице описаны доступные службы Exchange.

Служба Использует
Службы IIS Шифрование TLS для внутренних и внешних клиентских подключений, использующих HTTP. Вот некоторые из них:
Автообнаружение
Exchange ActiveSync
Центр администрирования Exchange
веб-службы Exchange
Распространение автономных адресных книг
Мобильный Outlook (протокол RPC через HTTP)
MAPI Outlook через HTTP
Outlook в Интернете
IMAP Шифрование TLS для клиентских подключений по протоколу IMAP4.
Не назначайте групповой сертификат службе IMAP4. Используйте командлет Set-ImapSettings для настройки полного доменного имени (FQDN), с помощью которого клиенты подключаются к службе IMAP4.
POP Шифрование TLS для клиентских подключений по протоколу POP3.
Не назначайте групповой сертификат службе POP3. Используйте командлет Set-PopSettings для настройки полного доменного имени (FQDN), с помощью которого клиенты подключаются к службе POP3.
SMTP Шифрование TLS для внешних подключений к клиентам и серверам по протоколу SMTP
Проверка подлинности Mutual TLS между Exchange и другими серверами обмена сообщениями.
При назначении сертификата SMTP вам будет предложено заменить самозаверяющий сертификат Exchange по умолчанию, который используется для шифрования smtp-связи между внутренними серверами Exchange. Обычно заменять сертификат SMTP по умолчанию не нужно.
Единая система обмена сообщениями Шифрование TLS для клиентских подключений к серверной службе единой системы обмена сообщениями на серверах почтовых ящиков Exchange 2016.
Вы можете назначить сертификат службе единой системы обмена сообщениями, только если используется режим запуска TLS или "Двойной". Если используется режим запуска по умолчанию TCP, вы не можете назначить сертификат этой службе. (Примечание. UM недоступна в Exchange 2019. Дополнительные сведения см. в статье Configure the Startup Mode on a Mailbox Server.
Маршрутизатор звонков единой системы обмена сообщениями (UMCallRouter) Шифрование TLS для клиентских подключений к службе маршрутизатора вызовов единой системы обмена сообщениями в службах клиентского доступа на серверах почтовых ящиков Exchange 2016.
Вы можете назначить сертификат службе маршрутизатора звонков единой системы обмена сообщениями, только если используется режим запуска TLS или "Двойной". Если используется режим запуска по умолчанию TCP, вы не можете назначить сертификат этой службе. (Примечание. UM недоступна в Exchange 2019. Дополнительные сведения см. в статье Configure the Startup Mode on a Client Access Server.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 5 минут.

  • После выполнения процедур, описанных в этом разделе, может потребоваться перезапустить службы IIS. В некоторых сценариях Exchange может продолжать использовать предыдущий сертификат для шифрования и расшифровки файла cookie, который используется для проверки подлинности Outlook в Интернете (ранее — Outlook Web App). Рекомендуется перезапускать СЛУЖБЫ IIS в средах, использующих балансировку нагрузки уровня 4.

  • Если вы обновите или замените сертификат, который был выпущен центром сертификации на подписанном пограничном транспортном сервере, вам нужно будет удалить старый сертификат, а затем удалить и заново создать пограничную подписку. Дополнительные сведения см. в разделе Процесс пограничной подписки.

  • Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Безопасность служб клиентского доступа" в разделе Разрешения клиентов и мобильных устройств .

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы: Exchange Server, Exchange Online или Exchange Online Protection.

Назначить сертификат службам Exchange с помощью Центра администрирования Exchange

  1. Откройте EAC и перейдите в раздел Сертификаты серверов>.

  2. В списке Выберите сервер выберите сервер Exchange, где находится сертификат.

  3. Выберите сертификат, который требуется настроить, и нажмите кнопку Изменитьзначок редактирования. Сертификат должен иметь статусДействительный.

  4. Выберите службы на вкладке Службы в разделе Укажите службы, которым вы хотите назначить этот сертификат. Обратите внимание, что вы можете только добавлять службы, но не удалять их. По завершении нажмите кнопку Сохранить.

Назначить сертификат службам Exchange с помощью командной консоли Exchange

Чтобы назначить сертификат службам Exchange, используйте следующий синтаксис:

Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]

В этом примере сертификат, имеющий значение 434AC224C8459924B26521298CE8834C514856AB отпечатка, назначается службам POP, IMAP, IIS и SMTP.

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP

Значение отпечатка сертификата можно найти с помощью командлета Get-ExchangeCertificate.

Как проверить, все ли получилось?

Чтобы убедиться, что вы успешно назначили сертификат одной или нескольким службам Exchange, выполните одно из следующих действий:

  • В центре администрирования Exchange в разделе Сертификаты серверов> убедитесь, что выбран сервер, на котором установлен сертификат. Выберите сертификат и убедитесь, что свойство Назначено службам в области сведений содержит выбранные службы.

  • В командной консоли Exchange на сервере, где вы установили сертификат, выполните следующую команду, чтобы проверить службы Exchange для сертификата:

    Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services