Установка SSL сертификата на Exchange 2016

Как установить сертификат в Exchange Server? Важно защитить сервер Exchange с помощью SSL-сертификата. У нас есть SSL-сертификат, который мы хотели бы импортировать в Exchange Server. Установить сертификат Exchange 2016 CU23 с помощью PowerShell . В этой статье мы импортируем сертификат с помощью PowerShell

Создадим общую папку для сертификата

Создайте общую папку и поместите в нее SSL-сертификат. Обязательно назначьте права доступа к папке. Например, учетная запись SYSTEM. Если вы не дадите разрешение, вы не сможете импортировать сертификат, и появится ошибка.

Импорт сертификата в Exchange Server 2016 CU23

Начиная с Exchange Server 2016 CU23 и более поздних версий и Exchange Server 2019 CU12 и более поздних версий, единственным вариантом импорта сертификата Exchange является PowerShell (оболочка управления Exchange).

Импорт сертификата Exchange с помощью PowerShell

Запустите командную консоль Exchange от имени администратора. Запустите командлет Import-ExchangeCertificate , включая параметр -FileName , чтобы установить сертификат Exchange.

С паролем
Import-ExchangeCertificate -Server "mbx1" -FileData ([System.IO.File]::ReadAllBytes('\\mbx1\PFX\_.alukashin.ru.pfx')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'P@ssw0rd1' -AsPlainText -Force)
Без пароля
Import-ExchangeCertificate -Server "mbx1" -FileData ([System.IO.File]::ReadAllBytes('\\mbx1\PFX\_.alukashin.ru.pfx')) -PrivateKeyExportable:$true

Thumbprint                                Services   Subject
----------                                --------   -------
DFAE4B6EF7A33C5AC74127BAB404B44A3F287872  .......    CN=*.alukashin.ru

Сертификат успешно импортирован с помощью PowerShell.

Примечание . Сертификат еще не назначен службам Exchange. Это видно по точкам (…….) в столбце « Services» .

Назначить сертификат службам Exchange Server 2016 cu23

Если сертификат не назначен службам Exchange Server, он не будет работать.

Получим список отпечатков сертификата

[PS] C:\Scripts>Get-ExchangeCertificate | fl Thumbprint,subject


Thumbprint : DFAE4B6EF7A33C5AC74127BAB404B44A3F287872
Subject    : CN=*.alukashin.ru

Thumbprint : 82C0AEC749A38CBB1F8904B862B86B0EBE682E9F
Subject    : CN=Microsoft Exchange Server Auth Certificate

Thumbprint : 3109414C006D25EBC2FD32C1B5367D98B7A3997F
Subject    : CN=MBX1

Thumbprint : 9DA14B09DF06918642EB168C6B5380A109ADBDA6
Subject    : CN=WMSvc-SHA2-MBX1

 Назначьте сертификат с помощью командлета Enable-ExchangeCertificate и параметра -Services . После запуска командлета нажмите Y и нажмите Enter .

[PS] C:\Scripts>Enable-ExchangeCertificate -Server "MBX1" -Thumbprint DFAE4B6EF7A33C5AC74127BAB404B44A3F287872 -Services
 SMTP,IMAP,IIS
WARNING: This certificate with thumbprint DFAE4B6EF7A33C5AC74127BAB404B44A3F287872 and subject '*.alukashin.ru' cannot
used for IMAP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use command
Set-IMAPSettings to set X509CertificateName to the FQDN of the service.

Confirm
Overwrite the existing default SMTP certificate?

Current certificate: '3109414C006D25EBC2FD32C1B5367D98B7A3997F' (expires 8/16/2027 3:00:52 AM)
Replace it with certificate: 'DFAE4B6EF7A33C5AC74127BAB404B44A3F287872' (expires 11/20/2022 5:03:08 AM)
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): A

Проверить назначенный сертификат Exchange

[PS] C:\>Get-ExchangeCertificate -Server "MBX1" | select Thumbprint, Services, NotAfter, Subject, CertificateDomains


humbprint         : DFAE4B6EF7A33C5AC74127BAB404B44A3F287872
Services           : IIS, SMTP
NotAfter           : 11/20/2022 5:03:08 AM
Subject            : CN=*.alukashin.ru
CertificateDomains : {*.alukashin.ru}