[РЕШЕНО] Как установить/заменить сертификат SSL/TLS на Microsoft Exchange Server 2013/2016

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
[РЕШЕНО] Как установить/заменить сертификат SSL/TLS на Microsoft Exchange Server 2013/2016
Пытаюсь заменить старый сертификат на новый и подключить tls для SMTP
Удалил старый, добавлен новый но как его подключить к SMTP не могу понять
Галочка в настройках сертификата стоит.

проверяю так:
openssl s_client -connect mx.nameserver.com:465 -starttls smtp
CONNECTED(00000003)
didn't found starttls in server response, try anyway...
РЕШЕНИЕ:



1. Все команды выполняются через Exchange Management Shell
Как вообще посмотреть какой сертификат подключен как TLSCertificateName

Get-ReceiveConnector | Select Identity,TLSCertificateName | Out-GridView  (получения)
Get-SendConnector | Select Identity,TLSCertificateName | Out-GridView   (отправки)

2. Получаем список установленных сертификатов
Код
Get-ExchangeCertificate -Server <YOURHOSTNAME> | FL

можно посмотреть  (через ECP - СЕРВЕРЫ (тут и смотрим имя сервера) - сертификаты - )
- NotAfter - дата окончания
- Services - Службы, которым назначен этот сертификат.
- Thumbprint - Отпечаток (будет нужен для дальнейших команд)
В короткой форме можно посмотреть так: Get-ExchangeCertificate

3. Если сертификат новый уже добавлен, то двигаемся дальше если нет (то позже опишу как его добавить)
4. Теперь ответ на сам вопрос как сделать замену сертификата соединителя отправки и соединителя получения (прим. SMTP)

4.1 соединитель отправки:
Get-SendConnector | list

AddressSpaces : {SMTP:*;1}
AuthenticationCredential : System.Management.Automation.PSCredential
CloudServicesMailEnabled : False
Comment :
ConnectedDomains : {}
ConnectionInactivityTimeOut : 00:10:00
ConnectorType : Default
DNSRoutingEnabled : False
DomainSecureEnabled : False
Enabled : True
ErrorPolicies : Default
ForceHELO : False
Fqdn :
FrontendProxyEnabled : False
HomeMTA : Microsoft MTA
HomeMtaServerId : VM-EXCHANGE1
Identity : SmartHost Somehosting
IgnoreSTARTTLS : False
IsScopedConnector : False
IsSmtpConnector : True
MaxMessageSize : 35 MB (36,700,160 bytes)
Name : SmartHost Somehosting
Port : 25
ProtocolLoggingLevel : None
Region : NotSpecified
RequireOorg : False
RequireTLS : False
SmartHostAuthMechanism : BasicAuth
SmartHosts : {relay.tux.somehosting-net.ch}
SmartHostsString : relay.tux.somehosting-net.ch
SmtpMaxMessagesPerConnection : 20
SourceIPAddress : 0.0.0.0
SourceRoutingGroup : Exchange Routing Group (DWBGZMFD01QNBJR)
SourceTransportServers : {VM-EXCHANGE1}
TlsAuthLevel :
TlsCertificateName : <I>CN=QuoVadis Global SSL ICA G2, O=QuoVadis Limited, C=BM<S>CN=*.xxyy.com, O=XXYY AG, L=Some Location, S=Zürich, C=CH
TlsDomain :
UseExternalDNSServersEnabled : True

# $cert = Get-ExchangeCertificate -Thumbprint <Thumbprint of the new Exchange certificate>
# $tlscertificate = (‘<I>’+$cert.issuer+'<S>’+$cert.subject)
# Set-SendConnector -Identity "SmartHost Somehosting" -TLSCertificateName $tlscertificate


соединитель получения:
Get-ReceiveConnector

Identity Bindings Enabled
-------- -------- -------
VM-EXCHANGE1\Default VM-EXCHANGE1 {0.0.0.0:2525, [::]:2525} True
VM-EXCHANGE1\Client Proxy VM-EXCHANGE1 {[::]:465, 0.0.0.0:465} True
VM-EXCHANGE1\Default Frontend VM-EXCHANGE1 25 {[::]:25, 0.0.0.0:25} True
VM-EXCHANGE1\Outbound Proxy Frontend VM-EXCHANGE1 {[::]:717, 0.0.0.0:717} True
VM-EXCHANGE1\Client Frontend VM-EXCHANGE1 {[::]:587, 0.0.0.0:587} True

# Set-ReceiveConnector "VM-Exchange1\Default Frontend VM-EXCHANGE1 25" -TlsCertificateName $tlscertificate
# Set-ReceiveConnector "VM-Exchange1\Outbound Proxy Frontend VM-EXCHANGE1" -TlsCertificateName $tlscertificate
# Set-ReceiveConnector "VM-Exchange1\Client Frontend VM-EXCHANGE1" -TlsCertificateName $tlscertificate


Обращаю ваше внимание что если нужно только для SMTP сделать TlsCertificateName , то находите соединитель получения который висит на 465 и делаете для него.

В ECP - потоки обработки почты - соединители получения ||||  соединители отправки

Далее перезапускаем транспортные службы EXCHAGE
# net stop "Microsoft Exchange Frontend Transport"
# net stop "Microsoft Exchange Transport"
# net stop "Microsoft Exchange Mailbox Transport Delivery"
# net stop "Microsoft Exchange Mailbox Transport Submission"

# net start "Microsoft Exchange Frontend Transport"
# net start "Microsoft Exchange Transport"
# net start "Microsoft Exchange Mailbox Transport Delivery"
# net start "Microsoft Exchange Mailbox Transport Submission"

Далее перезапускаем службы POP/IMAP

# net stop Microsoft Exchange IMAP4
# net stop Microsoft Exchange IMAP4 Backend
# net stop Microsoft Exchange POP3
# net stop Microsoft Exchange POP3 Backend

# net start Microsoft Exchange IMAP4
# net start Microsoft Exchange IMAP4 Backend
# net start Microsoft Exchange POP3
# net start Microsoft Exchange POP3 Backend

Рестарт IIS

# iisreset

Ну и финально проверяем TLSCertificateName
Get-ReceiveConnector | Select Identity,TLSCertificateName | Out-GridView
Get-SendConnector | Select Identity,TLSCertificateName | Out-GridView
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Дополнение как устрановить новый сертификат через Exchange Management Shell
1. Добавление сертификата: Сертификат должен лежать на «SMB» шаре, пароль это пароль от контейнера pfx

Import-ExchangeCertificate -Server <YOURHOSTNAME> -FileName "\\<YOURHOSTNAME>\certs\ExchangeCert.pfx" -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String "YourCertificatePassword" -AsPlainText -Force)





Thumbprint Services Subject
---------- -------- -------
1027DC200E3142D5336C814FD22B0A0C0CF43E99 IP..... CN=*.xxyy.com, O=XXYY AG, L=Some Location, S=Zürich, ...


2. Назначьте новый сертификат службам Exchange

Enable-ExchangeCertificate -Thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 -Services "IIS,SMTP,POP,IMAP"


WARNING: This certificate with thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 and subject '*.xxyy.com' cannot
used for POP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use command
Set-POPSettings to set X509CertificateName to the FQDN of the service.

WARNING: This certificate with thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 and subject '*.xxyy.com' cannot
used for IMAP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use command
Set-IMAPSettings to set X509CertificateName to the FQDN of the service.

Confirm
Overwrite the existing default SMTP certificate?

Current certificate: 'DBC4C763AE0EDD013C6036EB8F2932C4C02622F0' (expires 02.07.2021 17:00:00)
Replace it with certificate: '1027DC200E3142D5336C814FD22B0A0C0CF43E99' (expires 24.06.2022 15:23:00)

[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"): A
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
И еще дополню, вы написали как посмотреть SSL SMTP, опишу как сделать это для pop\imap

SMTP via SSL using port 465:
#  openssl s_client -connect mail.example.com:465 -starttls smtp
IMAP via SSL using port 993:
# openssl s_client -connect mail.example.com:993
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Страницы: 1
Ответить
Форма ответов
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.