Поделиться через


Командлет New-ExchangeCertificate (окончательная первоначальная версия)

 

Применимо к: Exchange Server 2007

Последнее изменение раздела: 2007-09-13

Командлет New-ExchangeCertificate используется для создания самозаверяющего сертификата или запроса на сертификат для служб TLS и SSL.

importantВажно!
При настройке сертификатов для служб SSL и TLS необходимо учитывать множество факторов. Необходимо понимать, как именно эти факторы отразятся на конфигурации в целом. Прежде чем продолжить работу, изучите раздел Использование сертификатов в Exchange Server 2007.

Синтаксис

New-ExchangeCertificate [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>]

New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>]

Подробное описание

Командлет New-ExchangeCertificate использует множество параметров с типом SwitchParameter. Дополнительные сведения об использовании данного типа см. в главе «Параметры-переключатели» раздела Параметры.

Для выполнения командлета New-ExchangeCertificate используемой учетной записи необходимо делегировать:

  • роль администратора сервера Exchange Server и членство в локальной группе администраторов на целевом сервере.

Чтобы запустить командлет New-ExchangeCertificate на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, входящей в локальную группу администраторов на этом компьютере.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Microsoft Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Параметры

Параметр Обязательность Тип Описание

BinaryEncoded

Дополнительно

System.Management.Automation.SwitchParameter

Этот параметр-переключатель позволяет задать способ кодировки экспортируемого файла. По умолчанию этот командлет создает файл в кодировке Base64.

Для создания файла в кодировке DER этому параметру следует присвоить значение $True.

DomainController

Дополнительно

System.String

Чтобы указать полное доменное имя контроллера домена, получающего данные из службы каталогов Active Directory, включите в команду параметр DomainController. Параметр DomainController не поддерживается на компьютерах с установленной ролью пограничного транспортного сервера. Роль сервера «Граничный транспорт» выполняет запись только на локальные экземпляры ADAM (Active Directory Application Mode).

DomainName

Дополнительно

Microsoft.Exchange.Data.MultiValuedProperty

Этот параметр используется для добавления одного или нескольких доменных имен (полных доменных имен) или имен сервера в итоговый запрос на сертификат.

Для доменных имен могут использоваться только знаки «a-z», «0-9», а также дефис («-»). Длина доменного имени не должна превышать 255 знаков.

Для ввода нескольких доменных имен или имен серверов необходимо использовать запятую в качестве разделителя.

Force

Дополнительно

System.Management.Automation.SwitchParameter

Этот переключатель используется для перезаписи существующего файла запроса на сертификат, имеющего тот же путь к файлу, который указан в командлете.

По умолчанию данный командлет не перезаписывает существующие файлы.

FriendlyName

Дополнительно

System.String

Этот параметр используется для того, чтобы указать краткое имя для результирующего сертификата. Краткое имя должно состоять из менее чем 64 символов.

Краткое имя, задаваемое по умолчанию, – «Microsoft Exchange».

GenerateRequest

Дополнительно

System.Management.Automation.SwitchParameter

Этот параметр используется для задания типа создаваемого объекта сертификата.

По умолчанию этот параметр создает самозаверяющий сертификат в хранилище сертификатов на локальном компьютере.

Чтобы создать запрос на сертификат PKI (PKCS #10) в локальном хранилище запросов, задайте для этого параметра значение $True.

IncludeAcceptedDomains

Дополнительно

System.Management.Automation.SwitchParameter

Этот параметр используется для включения в поле имен домена всех заданных обслуживаемых доменов.

Также можно задать параметр DomainName в запросе. Созданный сертификат или запрос будет содержать оба значения.

IncludeAutoDiscover

Дополнительно

System.Management.Automation.SwitchParameter

Этот параметр используется для добавления префикса «autodiscover» к каждому доменному имени, создаваемому для итогового сертификата. Этот параметр можно указывать только при выполнении командлета на сервере Exchange с установленной ролью сервера клиентского доступа. Примечание. Этот параметр не добавляет префикс «autodiscover», если доменное имя уже содержит такой префикс.

Instance

Дополнительно

System.Security.Cryptography.X509Certificates.X509Certificate2

Этот параметр используется для того, чтобы передать весь объект в команду для последующей обработки. Параметр Instance в основном используется в сценариях, в которых команде необходимо передать весь объект.

KeySize

Дополнительно

System.Int32

Этот параметр используется для задания размера (в битах) открытого ключа RSA, связанного с создаваемым сертификатом.

Допустимыми являются значения 4096, 2048 и 1024. Значение по умолчанию: 2048.

Path

Дополнительно

System.String

Этот параметр используется для задания пути создаваемого файла запроса PKCS #10.

Этот параметр допустим только в том случае, если для параметра GenerateRequest установлено значение $true.

Командлет New-ExchangeCertificate генерирует запрос на сертификат в локальном хранилище сертификатов, даже если задан параметр Path. Запрос сертификата, который создается в локальном хранилище сертификатов, содержит ключи для результирующего сертификата.

При использовании данного параметра необходимо указать имя файла запроса. Имя должно оканчиваться расширением REQ, например:

-Path c:\certificates\request.req

REQ-файл используется центром сертификации для создания сертификата.

PrivateKeyExportable

Дополнительно

System.Boolean

Этот параметр позволяет указать, будет ли создаваемый сертификат иметь экспортируемый закрытый ключ.

По умолчанию все запросы на сертификаты и сертификаты, созданные с помощью этого командлета, не допускают экспорта закрытого ключа.

Следует иметь в виду, что, если отсутствует возможность экспорта закрытого ключа, сам сертификат нельзя экспортировать или импортировать.

Задайте для этого параметра значение $true , чтобы включить возможность экспорта закрытого ключа из создаваемого сертификата.

Services

Дополнительно

Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices

Этот параметр позволяет указать службы, которые будут использовать создаваемый сертификат. Службы не могут быть указаны, если для параметра GenerateRequest было задано значение $true.

Допустимые значения представляют собой сочетания следующих элементов:

  • IMAP

  • POP

  • UM

  • IIS

  • SMTP

  • None

Чтобы задать самозаверяющий сертификат для нескольких служб, укажите каждое значение в кавычках, используя в качестве разделителя запятые, например:

-Services "IMAP, POP, IIS"

Чтобы создать отключенный сертификат, который можно будет экспортировать на другой компьютер, задайте для этого параметра значение None.

Значение по умолчанию: SMTP.

SubjectName

Дополнительно

System.Security.Cryptography.X509Certificates.X500DistinguishedName

Этот параметр используется для задания имени субъекта создаваемого сертификата.

«Имя субъекта» сертификата — это поле, используемое службами, взаимодействующими с DNS. Поле «Имя субъекта» привязывает сертификат к определенному имени сервера или домена.

Имя субъекта представляет собой различающееся имя в формате X.500, состоящее из одного или нескольких относительных различающихся имен (также называемых RDN).

По умолчанию полное доменное имя сервера, на котором выполняется этот командлет, используется в качестве общего имени готового сертификата.

Типы входных данных

Типы возвращаемых данных

Ошибки

Ошибка Описание

 

Исключения

Исключения Описание

 

Пример

В первом примере показано выполнение командлета без аргументов. При запуске командлета New-ExchangeCertificate без аргументов создается самозаверяющий сертификат для SMTP SSL/TLS. В качестве имени субъекта сертификата указано полное имя домена локального компьютера. Этот внутренний сертификат транспорта можно использовать без дополнительной настройки для проверки подлинности на основе прямого доверия и шифрования между пограничными транспортными серверами и транспортными серверами-концентраторами. Локальной группе безопасности «Сетевые службы» также предоставляется доступ для чтения к закрытому ключу, связанному с сертификатом. Кроме того, сертификат публикуется в Active Directory, что позволяет использовать прямые отношения доверия Exchange Server для проверки подлинности сервера в рамках взаимной проверки подлинности TLS.

Во втором примере показано выполнение командлета для создания запроса на сертификат и копирования его в папку на локальном компьютере. Создаваемый сертификат имеет следующие связанные атрибуты:

  • Имя субъекта: c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com

  • Альтернативные имена субъекта: woodgrove.com и example.com

  • Экспортируемый закрытый ключ

Дополнительные примеры см. в разделе Создание сертификата или запроса сертификата для TLS в указанных ниже записях блога команды разработчиков Exchange Server.

Дополнительные сведения см. в техническом документе Безопасность домена (на английском языке).

New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true