Как установить/заменить сертификат SSL/TLS на Microsoft Exchange Server 2013/2016

-

 

Как установить/заменить сертификат SSL/TLS на Microsoft Exchange Server 2013/2016


https://www.linuxshop.ru/forum/f36/t41607--resheno-kak-ustanovitzamenit-sertifikat-ssltls-na-microsoft-exchange-server-20132016.html

Пытаюсь заменить старый сертификат на новый и подключить tls для SMTP
Удалил старый, добавлен новый но как его подключить к SMTP не могу понять
Галочка в настройках сертификата стоит.

проверяю так:
openssl s_client -connect mx.nameserver.com:465 -starttls smtp
CONNECTED(00000003)
didn't found starttls in server response, try anyway...
 
   Цитировать   Имя
0
#2
26.07.2022 19:45:14
РЕШЕНИЕ:



1. Все команды выполняются через Exchange Management Shell
Как вообще посмотреть какой сертификат подключен как TLSCertificateName

Get-ReceiveConnector | Select Identity,TLSCertificateName | Out-GridView  (получения)
Get-SendConnector | Select Identity,TLSCertificateName | Out-GridView   (отправки)

2. Получаем список установленных сертификатов
Код
Get-ExchangeCertificate -Server <YOURHOSTNAME> | FL

можно посмотреть  (через ECP - СЕРВЕРЫ (тут и смотрим имя сервера) - сертификаты - )
- NotAfter - дата окончания
- Services - Службы, которым назначен этот сертификат.
- Thumbprint - Отпечаток (будет нужен для дальнейших команд)
В короткой форме можно посмотреть так: Get-ExchangeCertificate

3. Если сертификат новый уже добавлен, то двигаемся дальше если нет (то позже опишу как его добавить)
4. Теперь ответ на сам вопрос как сделать замену сертификата соединителя отправки и соединителя получения (прим. SMTP)

4.1 соединитель отправки:
Get-SendConnector | list

AddressSpaces : {SMTP:*;1}
AuthenticationCredential : System.Management.Automation.PSCredential
CloudServicesMailEnabled : False
Comment :
ConnectedDomains : {}
ConnectionInactivityTimeOut : 00:10:00
ConnectorType : Default
DNSRoutingEnabled : False
DomainSecureEnabled : False
Enabled : True
ErrorPolicies : Default
ForceHELO : False
Fqdn :
FrontendProxyEnabled : False
HomeMTA : Microsoft MTA
HomeMtaServerId : VM-EXCHANGE1
Identity : SmartHost Somehosting
IgnoreSTARTTLS : False
IsScopedConnector : False
IsSmtpConnector : True
MaxMessageSize : 35 MB (36,700,160 bytes)
Name : SmartHost Somehosting
Port : 25
ProtocolLoggingLevel : None
Region : NotSpecified
RequireOorg : False
RequireTLS : False
SmartHostAuthMechanism : BasicAuth
SmartHosts : {relay.tux.somehosting-net.ch}
SmartHostsString : relay.tux.somehosting-net.ch
SmtpMaxMessagesPerConnection : 20
SourceIPAddress : 0.0.0.0
SourceRoutingGroup : Exchange Routing Group (DWBGZMFD01QNBJR)
SourceTransportServers : {VM-EXCHANGE1}
TlsAuthLevel :
TlsCertificateName : <I>CN=QuoVadis Global SSL ICA G2, O=QuoVadis Limited, C=BM<S>CN=*.xxyy.com, O=XXYY AG, L=Some Location, S=Zürich, C=CH
TlsDomain :
UseExternalDNSServersEnabled : True

# $cert = Get-ExchangeCertificate -Thumbprint <Thumbprint of the new Exchange certificate>
# $tlscertificate = (‘<I>’+$cert.issuer+'<S>’+$cert.subject)
# Set-SendConnector -Identity "SmartHost Somehosting" -TLSCertificateName $tlscertificate

соединитель получения:
Get-ReceiveConnector

Identity Bindings Enabled
-------- -------- -------
VM-EXCHANGE1\Default VM-EXCHANGE1 {0.0.0.0:2525, [::]:2525} True
VM-EXCHANGE1\Client Proxy VM-EXCHANGE1 {[::]:465, 0.0.0.0:465} True
VM-EXCHANGE1\Default Frontend VM-EXCHANGE1 25 {[::]:25, 0.0.0.0:25} True
VM-EXCHANGE1\Outbound Proxy Frontend VM-EXCHANGE1 {[::]:717, 0.0.0.0:717} True
VM-EXCHANGE1\Client Frontend VM-EXCHANGE1 {[::]:587, 0.0.0.0:587} True

# Set-ReceiveConnector "VM-Exchange1\Default Frontend VM-EXCHANGE1 25" -TlsCertificateName $tlscertificate
# Set-ReceiveConnector "VM-Exchange1\Outbound Proxy Frontend VM-EXCHANGE1" -TlsCertificateName $tlscertificate
# Set-ReceiveConnector "VM-Exchange1\Client Frontend VM-EXCHANGE1" -TlsCertificateName $tlscertificate


Обращаю ваше внимание что если нужно только для SMTP сделать TlsCertificateName , то находите соединитель получения который висит на 465 и делаете для него.

В ECP - потоки обработки почты - соединители получения ||||  соединители отправки

Далее перезапускаем транспортные службы EXCHAGE
# net stop "Microsoft Exchange Frontend Transport"
# net stop "Microsoft Exchange Transport"
# net stop "Microsoft Exchange Mailbox Transport Delivery"
# net stop "Microsoft Exchange Mailbox Transport Submission"

# net start "Microsoft Exchange Frontend Transport"
# net start "Microsoft Exchange Transport"
# net start "Microsoft Exchange Mailbox Transport Delivery"
# net start "Microsoft Exchange Mailbox Transport Submission"

Далее перезапускаем службы POP/IMAP

# net stop Microsoft Exchange IMAP4
# net stop Microsoft Exchange IMAP4 Backend
# net stop Microsoft Exchange POP3
# net stop Microsoft Exchange POP3 Backend

# net start Microsoft Exchange IMAP4
# net start Microsoft Exchange IMAP4 Backend
# net start Microsoft Exchange POP3
# net start Microsoft Exchange POP3 Backend

Рестарт IIS

# iisreset

Ну и финально проверяем TLSCertificateName
Get-ReceiveConnector | Select Identity,TLSCertificateName | Out-GridView
Get-SendConnector | Select Identity,TLSCertificateName | Out-GridView
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
 
Цитировать   Имя
0
#3
26.07.2022 19:53:47
Дополнение как устрановить новый сертификат через Exchange Management Shell
1. Добавление сертификата: Сертификат должен лежать на «SMB» шаре, пароль это пароль от контейнера pfx

Import-ExchangeCertificate -Server <YOURHOSTNAME> -FileName "\\<YOURHOSTNAME>\certs\ExchangeCert.pfx" -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String "YourCertificatePassword" -AsPlainText -Force)





Thumbprint Services Subject
---------- -------- -------
1027DC200E3142D5336C814FD22B0A0C0CF43E99 IP..... CN=*.xxyy.com, O=XXYY AG, L=Some Location, S=Zürich, ...


2. Назначьте новый сертификат службам Exchange

Enable-ExchangeCertificate -Thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 -Services "IIS,SMTP,POP,IMAP"


WARNING: This certificate with thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 and subject '*.xxyy.com' cannot
used for POP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use command
Set-POPSettings to set X509CertificateName to the FQDN of the service.

WARNING: This certificate with thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 and subject '*.xxyy.com' cannot
used for IMAP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use command
Set-IMAPSettings to set X509CertificateName to the FQDN of the service.

Confirm
Overwrite the existing default SMTP certificate?

Current certificate: 'DBC4C763AE0EDD013C6036EB8F2932C4C02622F0' (expires 02.07.2021 17:00:00)
Replace it with certificate: '1027DC200E3142D5336C814FD22B0A0C0CF43E99' (expires 24.06.2022 15:23:00)

[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"): A
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
 
Цитировать   Имя
0
#4
26.07.2022 20:17:55
И еще дополню, вы написали как посмотреть SSL SMTP, опишу как сделать это для pop\imap

SMTP via SSL using port 465:
#  openssl s_client -connect mail.example.com:465 -starttls smtp
IMAP via SSL using port 993:
# openssl s_client -connect mail.example.com:993

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

У вас нет прав для отправки сообщения вместо указанного пользователя. Ошибка: [0x80070005-0x0004dc-0x000524]

-
Изображение
Включить выключить кеширование Закрыть outlook Удалить C:\Users\%username%\AppData\Local\Microsoft\Outlook\Offline Address Books Выключить кэширование почтового ящика http://arozhk.ru/soft/outlook-oshibka-0x80070005-00000000-00000000 Соответственно права все проставлены, проверены и внешне всё нормально. Как я решил эту проблему? Первое, поискал в интернете описание подобных проблем, оказывается я не первый у кого Exchange 2016 выдает ошибку при отправки сообщения из другого почтового ящика. Вариантов получилось несколько, очистить кэш клиента, перезагрузить адресную книгу, перебить права чуть ли не лезя ручками в AD. Много чего. Но в одном мало заметном посте прочитал, что всё банально, такая ошибка, при всех правильно проставленных правах, возникает если адресат от имени которого отправляем письмо, скрыт в глобальной адресной книге … Нонсенс, но факт. Вернул аккаунт в адресную книгу — ошибки не стало. Так что, если и у Вас возникает такая ошибка в Exchange 2016, когда В...
Далее...

KSMG Подготовка конфигурационных файлов для подключения к LDAP

-
  Подготовка конфигурационных файлов для подключения к LDAP Перед тем, как настроить верификацию получателей через LDAP на встроенном MTA, необходимо подготовить конфигурационный файл, содержащий параметры подключения к LDAP-серверу. Если у вас несколько доменов (лесов) Active Directory, для каждого из них необходимо подготовить отдельный конфигурационный файл. Каждый файл с параметрами подключения к LDAP представляет собой обычный текстовый файл в формате Unix (LF переводы строк). Имена файлов должны быть такими:  ldap_map1.cf ,  ldap_map2.cf  и т.д. Процедура подготовки конфигурационного файла состоит из следующих шагов: 1) Создайте на контроллере домена сервисную учетную запись со сложным паролем, которая будет использоваться для подключения к LDAP-серверам данного домена (леса доменов). Для примера будем использовать учетную запись с именем ksmg-relay. 2) Определите DN (Distinguished Name) сервисной учетной записи. Это можно сделать, например, при ...
Далее...

Пустое значение виртуального каталога Autodiscover - Object reference not set to an instance of an object (Get-AutodiscoverVirtualDirectory)

-
 https://support.microsoft.com/en-au/topic/autodiscover-event-id-1-after-installing-exchange-server-2019-cu3-or-exchange-server-2016-cu14-93850e62-4cf4-8a76-5fd4-c8ce6f032015 Autodiscover Event ID 1 after installing Exchange Server 2019 CU3 or Exchange Server 2016 CU14 Symptoms After you upgrade to  Cumulative Update 3 for Microsoft Exchange Server 2019  or  Cumulative Update 14 for Exchange Server 2016 , you receive the following error message: Log Name:      Application Source:        MSExchange Autodiscover Date:           DateTime Event ID:      1 Task Category: Web Level:         Error Keywords:      Classic User:          N/A Computer:       ComputerName Description: Unhandled Exception "Object reference not set to an instance of an object." Stack trace:    at Microsoft.Exchange.AutoDiscoverV2.FlightSett...
Далее...