Microsoft Exchange Server: SSL-certifikat via ACME

Q: Vilka tjänster aktiveras för det nya certifikatet?

Som standard IIS,SMTP,IMAP,POP . Det täcker OWA, EWS, ActiveSync, autodiscover (alla via IIS) samt SMTP, IMAP och POP om de är aktiverade. Justera listan i --scriptparameters om du inte använder en viss tjänst.

Exchange Server 2013, 2016 och 2019 kan automatiseras med simple-acme. Certifikatet installeras i Windows Certificate Store, binds till IIS för OWA och EWS, och aktiveras för SMTP, IMAP och POP via ImportExchange.v2.ps1. Befintliga interna Exchange-certifikat lämnas orörda.

Uppsättning

Steg 1: Installera simple-acme

Hämta FairSSL-utgåvan av simple-acme (förkonfigurerad med ACME-adress och med ImportExchange.v2.ps1 i Scripts-mappen). Packa upp till C:\simple-acme på Exchange-servern.

Steg 2: Förbered miljön

Alla relevanta domäner är konfigurerade för FairSSL Auto DNS.
Exemplet förutsätter en Exchange-server med OWA på IIS. Anpassa --host-listan efter behov.
Kör Exchange Management Shell som administratör och gå till C:\simple-acme.

Steg 3: Utfärda och aktivera

Kör kommandot i Exchange Management Shell som administratör. simple-acme utfärdar certifikatet, installerar det med Network Service och Administrators som ACL-ägare (så att Exchange kan läsa den privata nyckeln), binder det till IIS och anropar ImportExchange.v2.ps1 som aktiverar det för de angivna tjänsterna.

wacs.exe --verbose --baseuri "https://fairssl.dk/acme" `
  --eab-key-identifier DIN_EAB_KID --eab-key DIN_EAB_HMAC --accepttos `
  --source manual --csr rsa `
  --certificatestore My --acl-fullcontrol "network service,administrators" `
  --validation none `
  --installation iis,script --script "./Scripts/ImportExchange.v2.ps1" `
  --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP,POP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'" `
  --host "mail.exempel.se,autodiscover.exempel.se" `
  --friendlyname "fairssl-acme-mail.exempel.se"

Steg 4: Verifiera tjänster

Kör följande i Exchange Management Shell för att bekräfta att Exchange har aktiverat certifikatet för rätt tjänster (förvänta flaggor som IPWS på det nya certifikatet):

Get-ExchangeCertificate
Get-WebBinding

Steg 5: Bekräfta IIS-bindningar

Default Website ska använda det nya certifikatet.
Exchange Back End ska fortsätta använda det interna certifikatet (heter typiskt "Microsoft Exchange").
Testa publikt med FairSSLs SSL-skanner.

Steg 6: Ställ in simple-acme förnyelsefönstret

Om du använde FairSSL-utgåvan av simple-acme är detta redan satt. Annars: ändra i settings.json ScheduledTask → RenewalDays = 365 och ScheduledTask → RenewalMinimumValidDays = 7. Det får simple-acme att låta ARI styra förnyelsen, men senast 7 dagar före utgång tvingas förnyelse.

Viktiga noteringar

Det interna "Microsoft Exchange"-certifikatet måste fortfarande förnyas

Exchange Server använder sitt egna interna certifikat för Exchange Back End-IIS-sajten och en rad interna tjänster. Det byts inte ut av ACME-flödet. Bevaka utgångsdatumet och förnya det med Exchange-verktygen.

Wildcard-certifikat täcker inte SMTP, IMAP och POP fullt ut

Exchange använder bara wildcard för OWA, EWS och ActiveSync. SMTP, IMAP och POP kräver det specifika FQDN i SAN. Om det saknas faller Exchange tillbaka till det interna certifikatet för dessa tjänster. Beställ ett SAN-certifikat med alla FQDN för att undvika det.

Vanliga frågor

Hitta svar på de vanligaste frågorna om SSL-certifikat och FairSSL.

Vilka Exchange-versioner stöds?

Exchange Server 2013, 2016 och 2019. ImportExchange.v2.ps1 använder Exchange Management Shell-cmdlet:en Enable-ExchangeCertificate för att aktivera det nya certifikatet för relevanta tjänster (IIS, SMTP, IMAP, POP). simple-acme själv sköter installation i Windows Certificate Store och IIS-bindning.

Ska jag låta Exchange behålla sitt interna "Microsoft Exchange"-certifikat?

Ja. Exchange Server kräver ett giltigt internt certifikat för Exchange Back End-IIS-sajten och en rad interna tjänster. Det heter vanligen Microsoft Exchange och skapas under installationen. Vårt ACME-flöde byter bara ut frontend-certifikaten på OWA, EWS, ActiveSync, SMTP, IMAP och POP - aldrig det interna. Kom ihåg att förnya det interna certifikatet separat med Exchange-verktygen innan det går ut.

Fungerar wildcard-certifikat för Exchange?

Delvis. Exchange accepterar ett wildcard SSL/TLS-certifikat för OWA, EWS och ActiveSync, men SMTP, IMAP och POP använder inte wildcardet om inte det specifika FQDN finns i certifikatets SAN. Om inget annat certifikat innehåller FQDN faller Exchange tillbaka till det interna certifikatet för dessa tjänster. Vi rekommenderar ett SAN-certifikat med alla relevanta FQDN (mail.example.com, autodiscover.example.com, smtp.example.com).

Ska jag använda Exchange Management Shell eller vanlig PowerShell?

Exchange Management Shell. Skriptet anropar Exchange-specifika cmdlets som inte finns i en standard-PowerShell. Starta EMS som administratör och gå till C:\simple-acme innan du kör kommandot.

Vilka tjänster aktiveras för det nya certifikatet?

Som standard IIS,SMTP,IMAP,POP. Det täcker OWA, EWS, ActiveSync, autodiscover (alla via IIS) samt SMTP, IMAP och POP om de är aktiverade. Justera listan i --scriptparameters om du inte använder en viss tjänst.

Vad händer vid förnyelse?

simple-acme schemalägger en daglig aktivitet. När ARI eller den inbyggda 7-dagars fallback utlöser förnyelse installeras det nya certifikatet i Windows Certificate Store, IIS-bindningen uppdateras, och ImportExchange.v2.ps1 körs igen och aktiverar det för samma Exchange-tjänster. Det gamla certifikatet ligger kvar i certifikatlagret tills det går ut.

Redo att automatisera Exchange-certifikat?

Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.

Skapa gratis konto Jämför certifikat