با سلام خدمت دوستان عزیز…. امیدوارم که هر کجا هستید سالم و سلامت باشید
امروز میخواهیم در مورد certificate گرفتن برای Exchange صحبت کنیم
برای گرفتن certificate ما باید از قبل CA server را در شبکه راه اندازی کرده باشیم
شکل کلی سناریو اینجوری میشه که ما یک DC داریم و یک CA server و یک سرور Exchange که میخواهیم براش certificate تهیه کنیم.
قبل از اینکه بریم certificate رو بگیریم باید بریم virtual Directory ها رو درست کنیم
به طور مثال به صورت پیش فرض ویرچوال دایرکتوری های به این شکل میباشند که خب از نظر استاندارد درست نیست و بهتر است که نامشون رو عوض کنیم
به طور مثال در اینجا virtual Directory OWA در اینجا به نام : SRV-2019.theways.ir است که ما اسمش رو تغییر میدیم به نام : https:// mail.theways.ir/OWA
برای همه ویرچوال دایرکتوری ها این کار را انجام میدهیم
میریم روی ECP ، میریم قسمت server ، سپس قسمت certificate و سپس + را میزنیم.
دو تا گزینه میاد، گزینه اول را انتخاب میکنیم
گزینه دوم Self sign است، که اونو ما اینجا لازم ندارم و نمیزنیم.
همینجا یک نکته ای رو بگم که مایکروسافت از CU 12 به بعد امکان تهیه CSR از داخل خود ECP رو برداشته یعنی وقتی میایم اینجا گزینه اول را نمیبینیم…. برای حل این مشکل مهندس رزازیان یک پستی رو گذاشتن که میتونید به راحتی از طریق کامند این کار رو انجام بدید همینجا لینکش رو میزارم که به راحتی میتونید ازش استفاده کنید
حالا میگه آیا میخوای certificate که دریافت کنی از نوع wild card باشه یا از نوع DV .
تو Exchange خیلی wild card توصیه نمیشود، چون POP3 و IMAP با wild card کار نمیکنند.
وقتی wild card استفاده میکنیم به روش عادی نصب نمیشه، باید import کنیم.
اینجا اگر میخواهیم چند sub domain داشته باشیم توصیه میشود که SAN خریداری کنیم، یعنی یک certificate اما داخل خودش چندتا sub domain است.
حالا میپرسه که certificate Request را کجا قرار بدم،
حالا اینجا SAN هایی که Exchange برای Certificate داره درخواست میده رو نشون میده.
حالا میگه به این عناوین میخواهیم درخواست Certificate بدهیم.
Auto Discovery مهم است، این باید تو درخواست certificate باشد، اگر نباشد موقعی که کاربر از بیرون میخواد وصل بشه ارور میده.
سپس این اطلاعات را نیز تکمیل میکنیم
حالا میگه کجا این درخواست را ذخیره کنم
محل ذخیره باید UNC باشد.
میریم روی سرور Exchange و یک پوشه درست میکنیم و دقیقا باید همینطوری بسازیم، پسوندش باید Req باشد.
اگر این درخواست را باز کنم با note pad این همون CSR است.
حالا باید بریم روی DNS و دو تا رکورد بسازیم :
یکی A rerecord است برای CA server (که از قبل وقتی که CA server را آوردیم بالا ساختیم)
و دومی هم MX است که اشاره میکنه به exchange server ما
برای اینکه مطمئن بشیم CA که در شبکه است در certificate store ما اومده یا نه وارد certmgr میشیم
حالا از طریق وب وصل میشیم به CA server
در اینجا request a certificate را میزنیم
در اینجا request a certificate را میزنیم
گزینه advanced certificate request را انتخاب میکنیم
در اینجا هم گزینه دوم یعنی submit a certificate را انتخاب میکنیم
در صفحه باز شده CSR را وارد میکنیم و certificate template را روی web server انتخاب میکنیم
سپس certificate را دانلود میکنیم
میریم تو ECP در حالت pending request است.
Complete را میزنیم.
حالا فایلی را که دانلود کردم را تو اون فولدر share کپی میکنیم و آدرسش رو میدیم.
حالا میریم خود Certificate را باز میکنیم و میریم تو service و تیک اینارو میزنیم که برای اینا استفاده بشه.
یک وارنینگ میده که اینو جایگزین self sign میکنیم، میگیم yes .
تموم شد…
این میشه certfiicate گرفتن برای Exchange داخل شبکه
حالا برای پابلیش کردن هم هیمنه… باید بریم یک CSR ایجاد میکنیم و از CA ها معتبر اینترنتی درخواست Certificate کنیم.
نکته : چون بعضی وقتا اگر certificate های default را حذف کرده باشیم، یا اختلالی به وجود آمده باشد، وقتی این certificate را اعمال میکنیم، ECP دیگه باز نمیشه…
باید بریم و OWA و ECP را Repair کنیم که در اینجا میلاد جان پستی در موردش گذاشته و اگر به همچین مشکلی برخورد کردید میتونید از لینک زیر کمک بگیرید.
خیلی ممنون که وقت گذاشتید و مطالعه کردید امیدوارم که مفید بوده باشه.
هر گونه نشر بدون نام نویسنده دارای اشکال اخلاقی میباشد.
