Peppacci

Il blog di Giuseppe Traficante
posts - 31, comments - 15, trackbacks - 1

Installare un Active Directory Certificate Services su Win2008 R2 e crare un certificato per un server Microsoft Exchange Server 2007 ed uno per un Microsoft Exchange Server 2010.

Installare un Active Directory Certificate Services su Win2008 R2 e crare un certificato per un server Microsoft Exchange Server 2007 ed uno per un Microsoft Exchange Server 2010.
Scenario:
Le macchine sotto elencate, quelle dove andremo ad eseguire alcune configurazioni fanno parte di un Dominio AD Win2008 R2 con installato un ambiente misto con Microsoft Exchange Server 2007 e 2010.
DC01: Win2008 R2 Domain Controller
CAS01: Win2008, Microsoft Exchange Server 2007 roule: Client Access Server
CAS02: Win2008 R2, Microsoft Exchange Server 2010 roule: Client Access Server
Quello che andremo a fare è installare un CA interna al nostro Dominio AD dove genereremo due certificati per i due CAS server avendo prima sottomesso le rispettive richieste.
Per prima cosa installiamo l’ Active Directory Certificate Services sul DC01:
Apriamo il server manager --> Roles --> Add Roles
Selezioniamo “Active Directory Certificate Services
Selezioniamo “Certificate Autority, Certificate Autority Web Enrollment” e confermiamo le relative Features dipendenti.
Per i successivi step lasciamo le impostazioni di default:
Per i parametri sottostanti potete lasciare quelli di dafault se intende usare questa CA solo per rilasciare un certificato per Exchange Server o altri servizi che soddisfano quei prerequisiti, contrariamente potete variare sia l’algoritmo di HASH che la lunghezza della chiave.
Qui potete specificare la posizione del Database dei certificati ed i relativi log.
Confermate e installate.
Verificate che la CA sia raggiungibile all’indirizzo http://DC01/certsrv
Ora andiamo a generare la richiesta di certificato sul server CAS01.
Apriamo la EMSExchange Management Console
Prima di generare il certificato vanno fatte un paio di premesse: il certificato deve avere nel “Common Name“ l’indirizzo della WebMail di OWA es: webmail.peppacci.it per l’indirizzo di OWA https://webmail.peppacci.it/owa, nei vari “Subject Alternative Name” per la corretta generazione di un certificato per Exchange 2007 dobbiamo indicare altri parametri come: autodiscover.peppacci.it per la gestione del servizio Autodiscover dei client Outlook dal 2007 in poi, CAS01 che è l’indirizzo Netbios del server CAS, CAS01.domain.local che è l’indirizzo DNS del CAS all’interno del dominio AD ed infine dobbiamo reinserire anche l’indirizzo inserito come Common Name: webmail.peppacci.it assicurandoci che sia il primo della lista “si potrebbe discutere a livello security aver reso visibile il nome DNS AD del server CAS ma non è argomento di questa guida”. Ora possiamo generare la richiesta di certificato con la cmdlet “New-ExchangeCertificate”, di seguito la sintassi:
New-ExchangeCertificate -GenerateRequest -KeySize 1024 -SubjectName "c=IT, s=italia, l=Roma, o=Peppacci, ou=Web Administration, cn=webmail.peppacci.it" -DomainName webmail.peppacci.it,  autodiscover.peppacci.it, cas01.domain.local, cas01 -PrivateKeyExportable $True –path c:\cert_req.txt
Come vedete è stata generata una richiesta di certificato con il suo Thumbprint. Ora andiamo ad aprire quasta richiesta e selezioniamo tutto il contenuto copiandolo:
Apriamo la URL per richiedere un certificato: http://DC01/certsrv e selezioniamo “Request Certificate
Selezioniamo “Advanced certificate request
Selezioniamo “Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.”
Nella maschera “Saved Request” incolliamo la richiesta del certificate e come template selezioniamo “Web Server” e clickiamo su “Submit
Ora possiamo salvare il nostro certificato
Ora importiamo il certificato appena creato e lo abilitiamo per i servizi IIS POP3 IMAP4:
[PS] C:\>Import-ExchangeCertificate -Path C:\certnew.cer
[PS] C:\>Enable-ExchangeCertificate 2A9F14ABB9C0CA903A76BCC2B3F61C2A5BA2942C -Services "IIS, POP, IMAP"
Verifichiamo la presenza del certificato appena creato da EMS e dalla console di IIS
 
Ora faremo le stesse operazioni sul CAS di Exchange Server 2010, generando la richiesta, creando il certificato, importando il certificato ed abilitarlo ai servizi di Exchange.
La sintassi della cmdlet per “New-ExchangeCertificate” è leggermente diversa:
Set-Content -path "c:\newcert.req" -Value (New-ExchangeCertificate -GenerateRequest -KeySize 1024 –SubjectName "c=IT, s=Italia, l=Roma, o=peppacci, ou=Web Administration, cn=webmail2010.peppacci.it"     -DomainName webmail2010.peppacci.it, cas02, cas02.hypermail.local -PrivateKeyExportable $True)
Come per il CAS01 andremo a generare il nostro certificato dalla CA sul DC01 inserendo il contenuto del file newcert.req appena creato. Ottenuto il certificato seguendo la stessa procedura per quello precedentemente creato lo andremo ad importare sul CAS02 ed associarlo ai servizi “IIS, POP, IMAP
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certnew.cer -Encoding byte -ReadCount 0))| Enable-ExchangeCertificate -Services "IIS, POP, IMAP"
Chiaramente i certificati appena emessi sono stati erogati da una CA interna al Dominio AD, quindi questi risulteranno al mondo esterno provenienti da fonte non attendibile mostrandoci il classico allert nei browser IE 7 in poi. Quello che potete fare per risolvere il problema soprattutto se volete collegarvi ai servizi di OutlookAnyWhere è installare il certificato sui client che dovranno utilizzare i servizi di Exchange Server, oppure potete acquistare un certificato valido dalle società abilitate a questo servizio.
 
Saluti.
 

Print | posted on Sunday, December 27, 2009 6:42 AM | Filed Under [ Exchange Server ]

Feedback

No comments posted yet.

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 4 and 2 and type the answer here:

Powered by:
Powered By Subtext Powered By ASP.NET