گرفتن certificate برای Exchange

0 862

با سلام خدمت دوستان عزیز…. امیدوارم که هر کجا هستید سالم و سلامت باشید

امروز میخواهیم در مورد certificate گرفتن برای Exchange صحبت کنیم

برای گرفتن certificate ما باید از قبل CA server را در شبکه راه اندازی کرده باشیم

شکل کلی سناریو اینجوری میشه که ما یک DC داریم و یک CA server و یک سرور Exchange که میخواهیم براش  certificate تهیه کنیم.

قبل از اینکه بریم certificate رو بگیریم باید بریم virtual Directory ها رو درست کنیم

به طور مثال به صورت پیش فرض ویرچوال دایرکتوری های به این شکل میباشند که خب از نظر استاندارد درست نیست و بهتر است که نامشون رو عوض کنیم

به طور مثال در اینجا virtual Directory OWA در اینجا به نام : SRV-2019.theways.ir است که ما اسمش رو تغییر میدیم به نام  :  https:// mail.theways.ir/OWA

برای همه ویرچوال دایرکتوری ها این کار را انجام میدهیم

 

میریم روی ECP ، میریم قسمت server ، سپس قسمت certificate و سپس +  را میزنیم.

دو تا گزینه میاد، گزینه اول را انتخاب میکنیم

گزینه دوم Self sign است، که اونو ما اینجا لازم ندارم و  نمیزنیم.

همینجا یک نکته ای رو بگم که مایکروسافت از CU 12 به بعد امکان تهیه CSR از داخل خود ECP رو برداشته یعنی وقتی میایم اینجا گزینه اول را نمیبینیم….  برای حل این مشکل مهندس رزازیان یک پستی رو گذاشتن که میتونید به راحتی از طریق کامند این کار رو انجام بدید همینجا لینکش رو میزارم که به راحتی میتونید ازش استفاده کنید

https://b2n.ir/u98391

 

حالا میگه آیا میخوای certificate که دریافت کنی از نوع wild card باشه یا  از نوع DV  .

تو Exchange خیلی wild card توصیه نمیشود، چون POP3 و IMAP با wild card کار نمیکنند.

وقتی wild card استفاده میکنیم به روش عادی نصب نمیشه، باید import کنیم.

اینجا اگر میخواهیم چند sub domain داشته باشیم توصیه میشود که SAN خریداری کنیم، یعنی یک certificate اما داخل خودش چندتا sub domain است.

حالا میپرسه که certificate Request را کجا قرار بدم،

 

حالا اینجا SAN هایی که Exchange برای Certificate داره درخواست میده رو نشون میده.

حالا میگه به این عناوین میخواهیم درخواست Certificate بدهیم.

Auto Discovery مهم است، این باید تو درخواست certificate باشد، اگر نباشد موقعی که کاربر از بیرون میخواد وصل بشه ارور میده.

سپس این اطلاعات را نیز تکمیل میکنیم

 

حالا میگه کجا این درخواست را ذخیره کنم

محل ذخیره باید  UNC باشد.

میریم روی سرور Exchange و یک پوشه درست میکنیم و دقیقا باید همینطوری بسازیم، پسوندش باید Req باشد.

 

اگر این درخواست را باز کنم با note pad این همون CSR است.

 

حالا باید بریم روی DNS و دو تا رکورد بسازیم :

یکی A rerecord است برای CA server (که از قبل وقتی که CA server را آوردیم بالا ساختیم)

و دومی هم MX  است که اشاره میکنه به exchange server ما

 

برای اینکه مطمئن بشیم CA که در شبکه است در certificate store ما اومده یا نه وارد certmgr میشیم

 

حالا از طریق وب وصل میشیم به CA server

 

در اینجا request a certificate را میزنیم

در اینجا request a certificate را میزنیم

گزینه  advanced certificate request را انتخاب میکنیم

 

 

در اینجا هم گزینه دوم یعنی  submit a certificate را انتخاب میکنیم

 

در صفحه باز شده CSR را وارد میکنیم و certificate template را روی web server انتخاب میکنیم

 

سپس certificate را دانلود میکنیم

 

میریم تو ECP در حالت pending request است.

Complete  را میزنیم.

حالا فایلی را که دانلود کردم را تو اون فولدر share کپی میکنیم و آدرسش رو میدیم.

 

حالا میریم خود Certificate را باز میکنیم و میریم تو service و تیک اینارو میزنیم که برای اینا استفاده بشه.

 

یک  وارنینگ میده که اینو جایگزین self sign میکنیم، میگیم yes .

تموم شد…

این میشه certfiicate گرفتن برای Exchange داخل شبکه

حالا برای پابلیش کردن هم هیمنه… باید بریم یک CSR ایجاد میکنیم و از CA ها معتبر اینترنتی درخواست Certificate کنیم.

 

نکته : چون بعضی وقتا اگر certificate های default را حذف کرده باشیم، یا اختلالی به وجود آمده باشد، وقتی این certificate را اعمال میکنیم، ECP دیگه باز نمیشه…

باید بریم  و OWA و ECP را Repair کنیم که در اینجا میلاد جان پستی در موردش گذاشته و اگر به همچین مشکلی برخورد کردید میتونید از لینک زیر کمک بگیرید.

https://b2n.ir/n49903

خیلی ممنون که وقت گذاشتید و مطالعه کردید امیدوارم که مفید بوده باشه.

هر گونه نشر بدون نام نویسنده دارای اشکال اخلاقی میباشد.

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.