Командлет New-ExchangeCertificate (окончательная первоначальная версия)
Применимо к: Exchange Server 2007
Последнее изменение раздела: 2007-09-13
Командлет New-ExchangeCertificate используется для создания самозаверяющего сертификата или запроса на сертификат для служб TLS и SSL.
Важно! |
---|
При настройке сертификатов для служб SSL и TLS необходимо учитывать множество факторов. Необходимо понимать, как именно эти факторы отразятся на конфигурации в целом. Прежде чем продолжить работу, изучите раздел Использование сертификатов в Exchange Server 2007. |
Синтаксис
New-ExchangeCertificate [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>]
New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>]
Подробное описание
Командлет New-ExchangeCertificate использует множество параметров с типом SwitchParameter
. Дополнительные сведения об использовании данного типа см. в главе «Параметры-переключатели» раздела Параметры.
Для выполнения командлета New-ExchangeCertificate используемой учетной записи необходимо делегировать:
- роль администратора сервера Exchange Server и членство в локальной группе администраторов на целевом сервере.
Чтобы запустить командлет New-ExchangeCertificate на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, входящей в локальную группу администраторов на этом компьютере.
Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Microsoft Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.
Параметры
Параметр | Обязательность | Тип | Описание |
---|---|---|---|
BinaryEncoded |
Дополнительно |
System.Management.Automation.SwitchParameter |
Этот параметр-переключатель позволяет задать способ кодировки экспортируемого файла. По умолчанию этот командлет создает файл в кодировке Base64. Для создания файла в кодировке DER этому параметру следует присвоить значение |
DomainController |
Дополнительно |
System.String |
Чтобы указать полное доменное имя контроллера домена, получающего данные из службы каталогов Active Directory, включите в команду параметр DomainController. Параметр DomainController не поддерживается на компьютерах с установленной ролью пограничного транспортного сервера. Роль сервера «Граничный транспорт» выполняет запись только на локальные экземпляры ADAM (Active Directory Application Mode). |
DomainName |
Дополнительно |
Microsoft.Exchange.Data.MultiValuedProperty |
Этот параметр используется для добавления одного или нескольких доменных имен (полных доменных имен) или имен сервера в итоговый запрос на сертификат. Для доменных имен могут использоваться только знаки «a-z», «0-9», а также дефис («-»). Длина доменного имени не должна превышать 255 знаков. Для ввода нескольких доменных имен или имен серверов необходимо использовать запятую в качестве разделителя. |
Force |
Дополнительно |
System.Management.Automation.SwitchParameter |
Этот переключатель используется для перезаписи существующего файла запроса на сертификат, имеющего тот же путь к файлу, который указан в командлете. По умолчанию данный командлет не перезаписывает существующие файлы. |
FriendlyName |
Дополнительно |
System.String |
Этот параметр используется для того, чтобы указать краткое имя для результирующего сертификата. Краткое имя должно состоять из менее чем 64 символов. Краткое имя, задаваемое по умолчанию, – «Microsoft Exchange». |
GenerateRequest |
Дополнительно |
System.Management.Automation.SwitchParameter |
Этот параметр используется для задания типа создаваемого объекта сертификата. По умолчанию этот параметр создает самозаверяющий сертификат в хранилище сертификатов на локальном компьютере. Чтобы создать запрос на сертификат PKI (PKCS #10) в локальном хранилище запросов, задайте для этого параметра значение |
IncludeAcceptedDomains |
Дополнительно |
System.Management.Automation.SwitchParameter |
Этот параметр используется для включения в поле имен домена всех заданных обслуживаемых доменов. Также можно задать параметр DomainName в запросе. Созданный сертификат или запрос будет содержать оба значения. |
IncludeAutoDiscover |
Дополнительно |
System.Management.Automation.SwitchParameter |
Этот параметр используется для добавления префикса «autodiscover» к каждому доменному имени, создаваемому для итогового сертификата. Этот параметр можно указывать только при выполнении командлета на сервере Exchange с установленной ролью сервера клиентского доступа. Примечание. Этот параметр не добавляет префикс «autodiscover», если доменное имя уже содержит такой префикс. |
Instance |
Дополнительно |
System.Security.Cryptography.X509Certificates.X509Certificate2 |
Этот параметр используется для того, чтобы передать весь объект в команду для последующей обработки. Параметр Instance в основном используется в сценариях, в которых команде необходимо передать весь объект. |
KeySize |
Дополнительно |
System.Int32 |
Этот параметр используется для задания размера (в битах) открытого ключа RSA, связанного с создаваемым сертификатом. Допустимыми являются значения |
Path |
Дополнительно |
System.String |
Этот параметр используется для задания пути создаваемого файла запроса PKCS #10. Этот параметр допустим только в том случае, если для параметра GenerateRequest установлено значение Командлет New-ExchangeCertificate генерирует запрос на сертификат в локальном хранилище сертификатов, даже если задан параметр Path. Запрос сертификата, который создается в локальном хранилище сертификатов, содержит ключи для результирующего сертификата. При использовании данного параметра необходимо указать имя файла запроса. Имя должно оканчиваться расширением REQ, например:
REQ-файл используется центром сертификации для создания сертификата. |
PrivateKeyExportable |
Дополнительно |
System.Boolean |
Этот параметр позволяет указать, будет ли создаваемый сертификат иметь экспортируемый закрытый ключ. По умолчанию все запросы на сертификаты и сертификаты, созданные с помощью этого командлета, не допускают экспорта закрытого ключа. Следует иметь в виду, что, если отсутствует возможность экспорта закрытого ключа, сам сертификат нельзя экспортировать или импортировать. Задайте для этого параметра значение |
Services |
Дополнительно |
Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices |
Этот параметр позволяет указать службы, которые будут использовать создаваемый сертификат. Службы не могут быть указаны, если для параметра GenerateRequest было задано значение Допустимые значения представляют собой сочетания следующих элементов:
Чтобы задать самозаверяющий сертификат для нескольких служб, укажите каждое значение в кавычках, используя в качестве разделителя запятые, например:
Чтобы создать отключенный сертификат, который можно будет экспортировать на другой компьютер, задайте для этого параметра значение Значение по умолчанию: |
SubjectName |
Дополнительно |
System.Security.Cryptography.X509Certificates.X500DistinguishedName |
Этот параметр используется для задания имени субъекта создаваемого сертификата. «Имя субъекта» сертификата — это поле, используемое службами, взаимодействующими с DNS. Поле «Имя субъекта» привязывает сертификат к определенному имени сервера или домена. Имя субъекта представляет собой различающееся имя в формате X.500, состоящее из одного или нескольких относительных различающихся имен (также называемых RDN). По умолчанию полное доменное имя сервера, на котором выполняется этот командлет, используется в качестве общего имени готового сертификата. |
Типы входных данных
Типы возвращаемых данных
Ошибки
Ошибка | Описание |
---|---|
|
Исключения
Исключения | Описание |
---|---|
|
Пример
В первом примере показано выполнение командлета без аргументов. При запуске командлета New-ExchangeCertificate без аргументов создается самозаверяющий сертификат для SMTP SSL/TLS. В качестве имени субъекта сертификата указано полное имя домена локального компьютера. Этот внутренний сертификат транспорта можно использовать без дополнительной настройки для проверки подлинности на основе прямого доверия и шифрования между пограничными транспортными серверами и транспортными серверами-концентраторами. Локальной группе безопасности «Сетевые службы» также предоставляется доступ для чтения к закрытому ключу, связанному с сертификатом. Кроме того, сертификат публикуется в Active Directory, что позволяет использовать прямые отношения доверия Exchange Server для проверки подлинности сервера в рамках взаимной проверки подлинности TLS.
Во втором примере показано выполнение командлета для создания запроса на сертификат и копирования его в папку на локальном компьютере. Создаваемый сертификат имеет следующие связанные атрибуты:
Имя субъекта: c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com
Альтернативные имена субъекта: woodgrove.com и example.com
Экспортируемый закрытый ключ
Дополнительные примеры см. в разделе Создание сертификата или запроса сертификата для TLS в указанных ниже записях блога команды разработчиков Exchange Server.
Выводы: Опыт создания сертификата с помощью стороннего центра сертификации(на английском языке)
Автообнаружение Exchange 2007 и сертификаты(на английском языке)
Дополнительные сведения об Exchange 2007 и сертификатах — реальное применение(на английском языке)
Примечание. UNRESOLVED_TOKEN_VAL(exBlog)
Дополнительные сведения см. в техническом документе Безопасность домена (на английском языке).
New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true