Exchange 2010: Installation av SSL-certifikat

Komplett guide för hantering av SSL-certifikat på Exchange 2010: DNS-planering, Split-DNS, CSR-generering, certifikatinstallation och aktivering av tjänster.

Byt från interna till publikt giltiga servernamn

När en Exchange-server installeras är standardinställningen att den använder ett internt servernamn för intern kommunikation. Det är dock inte längre möjligt att använda interna servernamn i offentligt utfärdade SSL-certifikat. Eftersom Exchange inte kan använda flera certifikat för varje tjänst, måste vi använda exklusivt externt giltiga DNS-namn i certifikatet.

Exempel på interna servernamn:

• server01
• exch01.fairssl.local
• srv01.domain.lan
• localhost
• 192.168.100.10
• 10.0.0.10

Det kräver att det finns ett eller flera DNS-namn som kan nås både utifrån och internt, och som pekar på Exchange-servern. Exchange-servern måste även konfigureras för att känna till dessa namn.

Vi föreslår en av följande två populära lösningar.

Split-DNS

1 DNS-namn (t.ex. webmail.fairssl.dk) ger på det lokala nätverket en intern IP-adress till Exchange-servern, medan den från internet ger den publika IP-adressen.

Om man inte vill skapa hela domänen som en split-DNS-zon, rekommenderar vi att skapa själva servernamnet som en underzon och därmed bara köra split-DNS för just det namnet.

Se guide för konfiguration av Split-DNS

Konfigurera därefter serverens interna och externa URL-adresser till detta namn.

Två DNS-namn

Här används helt enkelt ett DNS-namn för intern åtkomst och ett annat för extern. Detta är normal praxis för företag som har skapat en underdomän till sin publika domän, t.ex. intern.fairssl.dk.

Det kan till exempel vara webmail.fairssl.dk som pekar på den externa IP-adressen och exchangeint.fairssl.dk som pekar på den interna IP-adressen.

Därefter konfigureras Exchanges interna och externa URL-adresser till dessa namn.

Konfiguration av Split-DNS

1. Logga in på domänkontrollanten (Domain Controller) med ett administratörskonto.

2. Tryck på Windows-tangenten + R och skriv följande kommando för att öppna DNS Manager:

dnsmgmt.msc

3. Högerklicka på Forward Lookup Zones och klicka på New Zone.

4. Klicka på Next.

Välj Primary zone och Store the zone in Active Directory om detta alternativ är tillgängligt.

Klicka på Next.

5. Välj To all DNS servers running on domain controllers in this forest.

Klicka på Next.

6. Skriv det DNS-namn som den interna DNS-servern ska peka på (t.ex. mail.fairssl.dk).

Du kan också välja att använda domänen (t.ex. fairssl.dk), men då måste du skapa en host-post för varje enskilt DNS-namn (se punkt 9).

Klicka på Next.

7. Välj Allow only secure dynamic updates.

Klicka på Next.

Klicka på Finish.

8. Högerklicka på den nya forward-zonen och klicka på New Host (A or AAAA).

9. Lämna Name tomt.

Skriv in den interna IP-adressen till Exchange-servern.

Om du har skapat en reverse lookup-zon eller planerar att göra det, markera kryssrutan Create associated pointer (PTR) record, annars lämna den tom.

Klicka på Add Host.

10. Om du har valt att skapa en zon för hela domänen ska du följa nedanstående steg. Kom ihåg att du måste göra detta för alla DNS-namn ni använder (t.ex. www.domain.dk, vpn.domain.dk, login.domain.dk).

Skriv DNS-namnet utan domän i name (t.ex. mail)

Skriv in den interna IP-adressen till Exchange-servern.

Om du har skapat en reverse lookup-zon eller planerar att göra det, markera kryssrutan Create associated pointer (PTR) record, annars lämna den tom.

Konfiguration av interna och externa Exchange service-URL:er

För att ändra interna och externa DNS-namn för alla Exchange-tjänster, utför stegen nedan.

1. Logga in på den Exchange-server som har CAS-rollen (Client Access Server). Använd ett konto som är medlem i gruppen "Exchange Administrators" samt gruppen "Administrators" på den lokala servern.

2. Starta Exchange Management Shell, högerklicka på genvägen och välj Run as Administrator.

3. Skriv följande kommando och tryck på [ENTER]:

Get-ExchangeServer | fl name

4. Skriv följande kommando och tryck på [ENTER]. SERVERNAVN är namnet du hittade i punkt 3. INTERNURL är den interna adressen till mailservern, t.ex. exch01.fairssl.dk eller mail.fairssl.dk. EKSTERNURL är den externa adressen till mailservern utan https://, t.ex. mail.fairssl.dk. Kom ihåg att använda citationstecken runt servernamn, internurl och eksternurl:

$CASserver = "SERVERNAVN" ; $internalURL= "INTERNURL" ; $externalURL= "EKSTERNURL"

5. Kopiera eller skriv följande kommandon och tryck på [ENTER] för att byta adresserna till de internetgiltiga (för ett komplett script med alla kommandon i ett svep, se punkt 6):

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory -InternalUrl "https://$internalURL/Autodiscover/Autodiscover.xml" -ExternalUrl "https://$externalURL/Autodiscover/Autodiscover.xml"

Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer -AutoDiscoverServiceInternalUri "https://$internalURL/Autodiscover/Autodiscover.xml"

Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory -InternalUrl "https://$internalURL/Ews/Exchange.asmx" -ExternalUrl "https://$externalURL/Ews/Exchange.asmx"

Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory -InternalUrl "https://$internalURL/Oab" -ExternalUrl "https://$externalURL/Oab"

Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory -InternalUrl "https://$internalURL/Owa" -ExternalUrl "https://$externalURL/Owa"

Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory -InternalUrl "https://$internalURL/Ecp" -ExternalUrl "https://$externalURL/Ecp"

Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl "https://$internalURL/Microsoft-Server-ActiveSync" -ExternalUrl "https://$externalURL/Microsoft-Server-ActiveSync"

6. Följande är alla ovanstående kommandon samlade i ett för enkel copy/paste. Om punkt 5 redan har utförts finns det ingen anledning att använda detta:

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory -InternalUrl "https://$internalURL/Autodiscover/Autodiscover.xml" -ExternalUrl "https://$externalURL/Autodiscover/Autodiscover.xml" ; Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer -AutoDiscoverServiceInternalUri "https://$internalURL/Autodiscover/Autodiscover.xml" ; Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory -InternalUrl "https://$internalURL/Ews/Exchange.asmx" -ExternalUrl "https://$externalURL/Ews/Exchange.asmx" ; Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory -InternalUrl "https://$internalURL/Oab" -ExternalUrl "https://$externalURL/Oab" ; Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory -InternalUrl "https://$internalURL/Owa" -ExternalUrl "https://$externalURL/Owa" ; Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory -InternalUrl "https://$internalURL/Ecp" -ExternalUrl "https://$externalURL/Ecp" ; Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl "https://$internalURL/Microsoft-Server-ActiveSync" -ExternalUrl "https://$externalURL/Microsoft-Server-ActiveSync"

Generering av CSR för certifikatbeställning

1. Starta Exchange Management Shell, högerklicka på genvägen och välj Run as Administrator.

2. I Exchange Management Shell, skriv följande kommando följt av [ENTER], där följande parametrar anger den information du har samlat in:

• SubjectName: Företagsuppgifter
• KeySize: Antalet bitar som används för kryptering (använd 2048)
• PrivateKeyExportable: Huruvida certifikatet senare ska kunna exporteras för backup

$CSR = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.fairssl.dk, O=FairSSL ApS, OU=IT Department, L=Oerum Djurs, S=Oerum Djurs, C=DK" -KeySize 2048 -PrivateKeyExportable $true

3. Du kan nu välja att kopiera texten som genereras och klistra in den direkt i certifikatansökan, eller skriva följande kommando för att spara den till en fil:

• Path: Sökvägen till var CSR-filen ska sparas

Set-Content -Path "c:\mail.fairssl.dk.csr" -value $CSR

4. Öppna certifikatansökan i Anteckningar (Notepad) genom att skriva följande kommando i Exchange Management Shell, använd sökvägen till filen du skapade ovan, följt av [ENTER]:

notepad c:\mail.fairssl.dk.csr

5. Markera och kopiera hela texten från filen, inklusive alla bindestreck före och efter.

Klistra in texten i CSR-fältet i ansökan.

Import av mellanliggande certifikat (Intermediate Certificate Authority)

Följande beskriver hur mellanliggande certifikat (intermediates) importeras på en Microsoft Windows-baserad server och därmed även en Exchange-server. För att säkerställa att klienter kan validera kedjan i certifikatet måste certifikatutfärdarens offentliga mellanliggande certifikat installeras på Exchange-serveren.

Observera att Windows ibland installerar certifikatet automatiskt när servercertifikatet installeras. Det skadar dock inte att importera samma intermediate-certifikat flera gånger; det kommer bara en varning om att det redan finns.

1. Logga in på servern med ett konto som är medlem i gruppen "Administrators" på den lokala servern.

Kopiera texten för mellanliggande certifikat (Intermediate certificate) från e-postmeddelandet med ditt nya certifikat till en enkel textredigerare (som Notepad). Spara filen på skrivbordet med filnamnet intermediate.cer.

2. Tryck på Windows-tangenten + R.

Skriv mmc.exe.

Tryck på OK.

3. Klicka på File och därefter Add/Remove Snap-in.

4. Välj Certificates och klicka därefter på Add.

5. Välj Computer account och klicka på Next >

6. Se till att Local computer är markerat.

Klicka på Finish.

Klicka på OK.

7. Expandera Certificates (Local Computer) och Intermediate Certification Authorities

Högerklicka på Certificates, välj All Tasks och klicka på Import...

8. Klicka på Browse... och välj filen du sparade på skrivbordet.

Klicka på Next

9. Välj Automatically select the certificate store based on the type of certificate

Klicka på Next

Klicka på Finish

Import och aktivering av certifikat-backupfil (.PFX/PKCS12)

Följande beskriver hur en certifikat-backupfil importeras och aktiveras i Exchange 2010. Vid beställning av domäner med AutoCSR tas certifikatet emot som en backupfil skyddad med en unik kod.

1. Starta Exchange Management Shell, högerklicka på genvägen och välj Run as Administrator.

2. I Exchange Management Shell, skriv följande kommando följt av [ENTER]:

• Path: Sökvägen till certifikatfilen.
• Services: De tjänster som ska aktiveras.

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\mail.mydomain.dk.pfx-Encoding byte-ReadCount 0))-password:(Get-Credential).password | Enable-ExchangeCertificate -Services "IIS,POP,IMAP,SMTP,None"

Lägg till UM till services om Unified Messaging är installerat.

Om du väljer tjänster som inte är installerade kommer kommandot att misslyckas, så välj bara de tjänster där certifikatet ska användas.

Detta kommando importerar först certifikatet och aktiverar sedan de valda tjänsterna.

En lösenordsfråga kommer att visas om filen är lösenordsskyddad (se punkt 3).

Slutligen blir du tillfrågad om du vill byta standardcertifikat för SMTP, skriv y och tryck på [ENTER].

3. En dialogruta för användarnamn och lösenord visas nu. Observera att fältet för användarnamn inte används, men det måste fyllas i.

Skriv None som användarnamn och det lösenord som filen är skyddad med i lösenordsfältet.

Aktivera certifikat för angivna tjänster

1. Starta Exchange Management Shell, högerklicka på genvägen och välj Run as Administrator.

2. Skriv följande kommando följt av [ENTER]:

• Thumbprint: Certifikatets ID (kan hittas med kommandot Get-ExchangeCertificate).
• Services: De tjänster certifikatet ska aktiveras på.

Enable-ExchangeCertificate -Thumbprint -Services "IIS, POP, IMAP, SMTP, None"

Lägg till UM till services om Unified Messaging är installerat.

Om du väljer tjänster som inte är installerade kommer kommandot att misslyckas, så välj bara de tjänster där certifikatet ska användas.

Därefter måste du bekräfta att SMTP-tjänstens certifikat ska ersättas, tryck på [ENTER] för att acceptera.