Как установить/заменить сертификат SSL/TLS на Microsoft Exchange Server 2013/2016
Как установить/заменить сертификат SSL/TLS на Microsoft Exchange Server 2013/2016
https://www.linuxshop.ru/forum/f36/t41607--resheno-kak-ustanovitzamenit-sertifikat-ssltls-na-microsoft-exchange-server-20132016.html
Пытаюсь заменить старый сертификат на новый и подключить tls для SMTP Удалил старый, добавлен новый но как его подключить к SMTP не могу понять Галочка в настройках сертификата стоит. проверяю так: openssl s_client -connect mx.nameserver.com:465 -starttls smtp CONNECTED(00000003) didn't found starttls in server response, try anyway... |
26.07.2022 19:45:14 РЕШЕНИЕ: 1. Все команды выполняются через Exchange Management Shell Как вообще посмотреть какой сертификат подключен как TLSCertificateName Get-ReceiveConnector | Select Identity,TLSCertificateName | Out-GridView (получения) Get-SendConnector | Select Identity,TLSCertificateName | Out-GridView (отправки) 2. Получаем список установленных сертификатов
можно посмотреть (через ECP - СЕРВЕРЫ (тут и смотрим имя сервера) - сертификаты - ) - NotAfter - дата окончания - Services - Службы, которым назначен этот сертификат. - Thumbprint - Отпечаток (будет нужен для дальнейших команд) В короткой форме можно посмотреть так: Get-ExchangeCertificate 3. Если сертификат новый уже добавлен, то двигаемся дальше если нет (то позже опишу как его добавить) 4. Теперь ответ на сам вопрос как сделать замену сертификата соединителя отправки и соединителя получения (прим. SMTP) 4.1 соединитель отправки: Get-SendConnector | list AddressSpaces : {SMTP:*;1} AuthenticationCredential : System.Management.Automation.PSCredential CloudServicesMailEnabled : False Comment : ConnectedDomains : {} ConnectionInactivityTimeOut : 00:10:00 ConnectorType : Default DNSRoutingEnabled : False DomainSecureEnabled : False Enabled : True ErrorPolicies : Default ForceHELO : False Fqdn : FrontendProxyEnabled : False HomeMTA : Microsoft MTA HomeMtaServerId : VM-EXCHANGE1 Identity : SmartHost Somehosting IgnoreSTARTTLS : False IsScopedConnector : False IsSmtpConnector : True MaxMessageSize : 35 MB (36,700,160 bytes) Name : SmartHost Somehosting Port : 25 ProtocolLoggingLevel : None Region : NotSpecified RequireOorg : False RequireTLS : False SmartHostAuthMechanism : BasicAuth SmartHosts : {relay.tux.somehosting-net.ch} SmartHostsString : relay.tux.somehosting-net.ch SmtpMaxMessagesPerConnection : 20 SourceIPAddress : 0.0.0.0 SourceRoutingGroup : Exchange Routing Group (DWBGZMFD01QNBJR) SourceTransportServers : {VM-EXCHANGE1} TlsAuthLevel : TlsCertificateName : <I>CN=QuoVadis Global SSL ICA G2, O=QuoVadis Limited, C=BM<S>CN=*.xxyy.com, O=XXYY AG, L=Some Location, S=Zürich, C=CH TlsDomain : UseExternalDNSServersEnabled : True # $cert = Get-ExchangeCertificate -Thumbprint <Thumbprint of the new Exchange certificate> # $tlscertificate = (‘<I>’+$cert.issuer+'<S>’+$cert.subject) # Set-SendConnector -Identity "SmartHost Somehosting" -TLSCertificateName $tlscertificate соединитель получения: Get-ReceiveConnector Identity Bindings Enabled -------- -------- ------- VM-EXCHANGE1\Default VM-EXCHANGE1 {0.0.0.0:2525, [::]:2525} True VM-EXCHANGE1\Client Proxy VM-EXCHANGE1 {[::]:465, 0.0.0.0:465} True VM-EXCHANGE1\Default Frontend VM-EXCHANGE1 25 {[::]:25, 0.0.0.0:25} True VM-EXCHANGE1\Outbound Proxy Frontend VM-EXCHANGE1 {[::]:717, 0.0.0.0:717} True VM-EXCHANGE1\Client Frontend VM-EXCHANGE1 {[::]:587, 0.0.0.0:587} True # Set-ReceiveConnector "VM-Exchange1\Default Frontend VM-EXCHANGE1 25" -TlsCertificateName $tlscertificate # Set-ReceiveConnector "VM-Exchange1\Outbound Proxy Frontend VM-EXCHANGE1" -TlsCertificateName $tlscertificate # Set-ReceiveConnector "VM-Exchange1\Client Frontend VM-EXCHANGE1" -TlsCertificateName $tlscertificate Обращаю ваше внимание что если нужно только для SMTP сделать TlsCertificateName , то находите соединитель получения который висит на 465 и делаете для него. В ECP - потоки обработки почты - соединители получения |||| соединители отправки Далее перезапускаем транспортные службы EXCHAGE # net stop "Microsoft Exchange Frontend Transport" # net stop "Microsoft Exchange Transport" # net stop "Microsoft Exchange Mailbox Transport Delivery" # net stop "Microsoft Exchange Mailbox Transport Submission" # net start "Microsoft Exchange Frontend Transport" # net start "Microsoft Exchange Transport" # net start "Microsoft Exchange Mailbox Transport Delivery" # net start "Microsoft Exchange Mailbox Transport Submission" Далее перезапускаем службы POP/IMAP # net stop Microsoft Exchange IMAP4 # net stop Microsoft Exchange IMAP4 Backend # net stop Microsoft Exchange POP3 # net stop Microsoft Exchange POP3 Backend # net start Microsoft Exchange IMAP4 # net start Microsoft Exchange IMAP4 Backend # net start Microsoft Exchange POP3 # net start Microsoft Exchange POP3 Backend Рестарт IIS # iisreset Ну и финально проверяем TLSCertificateName Get-ReceiveConnector | Select Identity,TLSCertificateName | Out-GridView Get-SendConnector | Select Identity,TLSCertificateName | Out-GridView - Работаю только с Юр. Лицами по договору обслуживания. | ||
26.07.2022 19:53:47 Дополнение как устрановить новый сертификат через Exchange Management Shell 1. Добавление сертификата: Сертификат должен лежать на «SMB» шаре, пароль это пароль от контейнера pfx Import-ExchangeCertificate -Server <YOURHOSTNAME> -FileName "\\<YOURHOSTNAME>\certs\ExchangeCert.pfx" -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String "YourCertificatePassword" -AsPlainText -Force) Thumbprint Services Subject ---------- -------- ------- 1027DC200E3142D5336C814FD22B0A0C0CF43E99 IP..... CN=*.xxyy.com, O=XXYY AG, L=Some Location, S=Zürich, ... 2. Назначьте новый сертификат службам Exchange Enable-ExchangeCertificate -Thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 -Services "IIS,SMTP,POP,IMAP" WARNING: This certificate with thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 and subject '*.xxyy.com' cannot used for POP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use command Set-POPSettings to set X509CertificateName to the FQDN of the service. WARNING: This certificate with thumbprint 1027DC200E3142D5336C814FD22B0A0C0CF43E99 and subject '*.xxyy.com' cannot used for IMAP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use command Set-IMAPSettings to set X509CertificateName to the FQDN of the service. Confirm Overwrite the existing default SMTP certificate? Current certificate: 'DBC4C763AE0EDD013C6036EB8F2932C4C02622F0' (expires 02.07.2021 17:00:00) Replace it with certificate: '1027DC200E3142D5336C814FD22B0A0C0CF43E99' (expires 24.06.2022 15:23:00) [Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"): A - Работаю только с Юр. Лицами по договору обслуживания. |
26.07.2022 20:17:55 И еще дополню, вы написали как посмотреть SSL SMTP, опишу как сделать это для pop\imap SMTP via SSL using port 465: # openssl s_client -connect mail.example.com:465 -starttls smtp IMAP via SSL using port 993: # openssl s_client -connect mail.example.com:993 |
Комментарии
Отправить комментарий