Сертификаты SAN и Split-brain DNS в Exchange 2013/2016

1. Планирование сертификатов
2. Создание запроса на сертификат в Exchange 2013/2016
3. Отправка запроса сертификата во внешний ЦС
4. Завершение отложенного запроса
5. Присвоение услуг сертификату
6. верификация
7. Предлагаемое чтение:

[Обновление]: Это сообщение было обновлено 25 мая 2017 года.

После успешного обновления Exchange Server или полностью нового развертывания многие администраторы решают приобрести сертификат SAN (Subject Alternative Names) для своей организации. Эти сертификаты идеально подходят для защиты служб Exchange, таких как OWA, ActiveSync, POP3 и IMAP, поскольку они позволяют использовать несколько доменных имен в одном сертификате SSL.

Создание самозаверяющего сертификата в вашем собственном домене также является опцией, но без сертификата, выданного центром сертификации, пользователи, получающие доступ к вашим услугам за пределами домена, получат предупреждение о безопасности, подобное приведенному ниже:

В этой статье я расскажу, как получить и установить сертификат SAN, подписанный CA, и как развернуть разделенный мозг DNS Предоставление вашим внутренним и внешним пользователям доступа к сертифицированным услугам без проблем.

Планирование сертификатов

Прежде чем купить сертификат, стоит потратить некоторое время, чтобы выяснить, какой тип лучше всего соответствует вашим потребностям.

Сертификат SAN является хорошим выбором, если вы хотите использовать несколько имен или доменов, например: www.example.com, www.different-domain.com, mail.example.com и т. Д. Он также имеет относительно низкую стоимость - включая 4 домена в нем стоит около 250 долларов в год.

Сертификаты с подстановочными знаками - это лучший способ, если вы хотите охватить неограниченное количество поддоменов в одном домене (* .example.com). Однако их стоимость значительно выше. За годовую подписку вы можете заплатить около 500 долларов.

В этой статье я буду использовать example.com в качестве имени внешнего домена и example.local в качестве имени внутреннего домена.

В небольшом развертывании Exchange 2013 эти два пространства имен должны быть в первую очередь включены в запрос сертификата:

• autodiscover.example.com - для службы автообнаружения, которая необходима для поиска настроек пользователя;
• mail.example.com - для OWA, Active Sync и Outlook Anywhere.

Чтобы зашифровать вашу почту с использованием TLS, вам также нужно будет включить в сертификат полное доменное имя вашего соединителя отправки:

Если пользователи в вашей организации используют протоколы POP3 и IMAP, следующие имена также должны быть включены в запрос сертификата:

• imap.example.com
• pop3.example.com

Помимо служб Exchange, вы также можете использовать сертификат для нескольких веб-приложений. В этом случае вам следует рассмотреть возможность приобретения сертификата с подстановочными знаками.

Создание запроса на сертификат в Exchange 2013/2016

Первым шагом к получению цифрового сертификата является создание нового запроса сертификата в центре администрирования Exchange на вашем сервере Exchange 2013/2016. Для этого вам нужно войти в EAC и перейти на серверы , сертификаты .

Нажмите кнопку « плюс», чтобы открыть мастер создания запроса сертификата Exchange. Выберите первый вариант: создайте запрос сертификата в центре сертификации .

Введите «Friendly name» для сертификата (это будет отображаемое имя сертификата):

После нажатия кнопки « Далее» вы получите возможность запросить сертификат подстановочного знака. В этом примере нас интересуют только сертификаты SAN, поэтому перейдите к следующему шагу, нажав « Далее» . В следующем окне выберите сервер, на котором будет храниться запрос сертификата, и нажмите « Далее» :

Следующее окно содержит список предложений доменов, связанных с услугами, которые вы можете сертифицировать. Вы можете пропустить этот шаг, потому что окончательный список доменов, которые будут включены в запрос, может быть отредактирован и подтвержден в следующем окне:

Последующее окно очень важно - именно здесь вы предоставляете данные своей организации. Поставщики сертификатов часто сверяют эти данные с информацией в базах данных WHOIS - нарушения могут препятствовать процессу сертификации. Следует также помнить, что центры сертификации часто отправляют электронные письма с подтверждением на типичные адреса электронной почты администратора домена, такие как [email protected] или [email protected].

Последнее окно мастера требует от вас указать путь к файлу, в котором будет сохранен сертификат. Путь должен быть указан в формате UNC, а группа «Надежная подсистема Exchange» должна иметь разрешения на запись в этом расположении.

После нажатия кнопки «Готово» в списке сертификатов в вашем центре администрирования Exchange должна появиться новая запись со статусом «Ожидающий запрос», а на диске C: должен быть создан новый файл с расширением .reg.

Отправка запроса сертификата во внешний ЦС

Когда у вас есть готовый запрос сертификата, вы можете отправить его во внешний центр сертификации (CA) по вашему выбору. При сравнении параметров помните, что важными критериями (помимо стоимости) являются: совместимость с Exchange 2013/2016, доступность поддержки и право на исправление потенциальных ошибок в сертификате.

Во многих случаях формы заказа на веб-сайтах CA позволяют вставлять / загружать файлы CSR. Файл CSR - это не более чем текстовый файл, отформатированный так:

—– НАЧАТЬ ЗАПРОС СЕРТИФИКАТА

(строка символов)

—– ОТПРАВИТЬ ЗАПРОС СЕРТИФИКАТА--.

Строка символов в файле CSR - это та же строка символов, которую вы увидите при открытии файла запроса сертификата .reg (тот, который был сохранен в пути UNC) в Блокноте. Копирование его содержимого в форму заказа сертификата приведет к отображению доменных имен, которые вы ввели ранее.

Процесс проверки владельца домена зависит от ЦС. Как правило, ЦС связывается с вами, отправляя электронные письма на стандартные адреса, которые я упоминал ранее. Для завершения проверки они могут, например, потребовать, чтобы вы включили определенные текстовые записи в ваш общедоступный DNS.

Завершение отложенного запроса

После того как вы выполнили все требования сертификации и оплатили запрошенный сертификат, вы должны получить электронное письмо от CA с приложенным zip-файлом. ZIP-файл будет содержать инструкции по установке и файл сертификата .cer. После сохранения файла .cer на диск выполните следующие действия:

В Центре администрирования Exchange перейдите на серверы сертификатов и нажмите на ожидающий запрос сертификата. В панели справа щелкните Завершить .

Появится новое окно, в котором вам будет предложено указать UNC-путь к файлу сертификата .cer, который вы получили от CA.

После загрузки сертификата его статус должен измениться с Ожидающий запрос на Действительный .

Присвоение услуг сертификату

Теперь, когда у вас есть действующий SSL-сертификат, установленный на вашем сервере Exchange, вы можете приступить к назначению ему определенных служб. Для этого в Центре администрирования Exchange перейдите на серверы , сертификаты , выберите вновь установленный сертификат и нажмите кнопку пера над списком сертификатов. В появившемся окне выберите вкладку « Службы » и назначьте сертификат службам по вашему выбору (в моем примере это SMTP, IMAP, POP и IIS).

Теперь осталось только настроить домены внешнего доступа для всех необходимых виртуальных каталогов. Это необходимо сделать отдельно для каждого каталога *, но это очень просто - в центре администрирования Exchange перейдите на серверы , в виртуальные каталоги , выберите сервер, выделите запись, которую вы хотите настроить, и нажмите кнопку гаечного ключа . В появившемся окне выберите сервер клиентского доступа и введите свой внешний домен.

* Для настройки доступа к службе автообнаружения необходимо использовать PowerShell. Больше по теме в Раздел «Сплит-мозг DNS» ниже.

Время закончить. Установите запись CNAME или A на DNS-сервере, чтобы внешний домен указывал на внешний IP-адрес вашей организации. Далее не забудьте перенаправить порт 443 в брандмауэре / маршрутизаторе на внутренний IP-адрес сервера Exchange 2013/2016.

Самый простой способ проверить правильность установки сертификата - получить доступ к внешнему адресу OWA (например, https://mail.example.com/owa) из-за пределов вашего домена. Если все настроено правильно, страница входа в OWA загрузится без предупреждений.
Адресная строка будет содержать значок замка, указывающий, что соединение защищено:

Цвет значка зависит от вашего браузера. Важно то, что при нажатии на значок окно раскроется с информацией об установленном сертификате и состоянии подключения.

Этот метод позволяет настроить внутренний DNS-сервер таким образом, чтобы ваши внутренние пользователи могли получать доступ к ресурсам виртуального каталога с использованием внешних доменных имен, не получая предупреждений безопасности или их запросы, маршрутизируемые через внешние серверы. В этом примере я буду использовать раздельный DNS в своей инфраструктуре Exchange 2013 (те же шаги для Exchange 2016), так что домен mail.example.com станет доступным для внутренних пользователей, и они не получат предупреждение об ошибке сертификата при доступе Это.

Первое, что нам нужно сделать, это предоставить внутренний URL-адрес для каждого виртуального каталога Exchange 2013/2016. Процесс аналогичен настройке доменов внешнего доступа, которые я объяснил в предыдущем разделе.

В центре администрирования Exchange перейдите на серверы , виртуальные каталоги и выберите сервер в раскрывающемся меню выбора сервера . Затем выделите каталог и нажмите кнопку редактирования (значок пера) над списком каталогов. В появившемся окне измените Внутренний URL на https: // Y нашего внешнего домена / директории (например, https://mail.example.com/ecp).

Важный! Внутренний URL-адрес виртуального каталога автообнаружения можно изменить только с помощью командной консоли Exchange с помощью следующей команды:

set-clientaccessserver –autodiscoverserviceinternaluri «https: // Ваш внешний домен /autodiscover/autodiscover.xml»

Для Exchange 2016 запустите:

Set-ClientAccessService -Identity Server_Name -AutoDiscoverServiceInternalUri https: // Your_External_Domain / Autodiscover / Autodiscover.xml

После изменения внутренних URL-адресов виртуальных каталогов необходимо изменить параметр DNS, чтобы он указывал на IP-адрес локальной сети сервера Exchange 2013/2016. Для этого откройте диспетчер DNS, в дереве консоли щелкните правой кнопкой мыши зоны прямого просмотра и выберите Новая зона…

Выберите Первичную зону и нажмите Далее :

Выберите параметр для репликации зоны на все DNS-серверы, работающие на контроллерах домена в этом домене :

Важный! Если сервер, на котором размещен сайт вашей компании www или ftp, находится за пределами вашей локальной сети (например, на внешнем веб-хосте), лучше создать отдельные зоны для каждого домена (autodiscover.example.com, mail. Example.com), используемого вашим Exchange. 2013/2016. В противном случае вы рискуете заблокировать доступ к веб-сайту компании для внутренних пользователей, и в этом случае вам придется изменить вновь созданную зону, добавив записи A или CNAME для внешних служб.

На следующем шаге введите имя зоны (например, домен, для которого она создается):

Далее выберите параметр « Не разрешать динамические обновления» :

Последнее окно будет содержать сводку по новой зоне.

В недавно созданной зоне DNS создайте запись A, указывающую на локальный IP-адрес сервера Exchange 2013/2016.

Повторите вышеуказанные шаги для всех необходимых виртуальных каталогов.

верификация

Чтобы убедиться в правильности настроек, проверьте, разрешает ли ваш DNS-сервер внешние домены, например mail.example.com, по адресу вашего локального сервера Exchange 2013/2016. Для этого в консоли cmd выполните команду ping для всех доменов, в которых теперь есть вновь созданные зоны поиска:

Пинг mail.example.com Пинг autodiscover.example.com И т.д.

Если во всех случаях вы получите ответ с одного и того же IP-адреса, это будет означать, что настройка DNS верна.

Для дальнейшей проверки удалите свой почтовый профиль в Windows и запустите Outlook, чтобы убедиться, что автообнаружение правильно находит данные конфигурации вашего почтового ящика.

Предлагаемое чтение:

Миграция устаревших общих папок в Exchange 2013/2016

Массовое создание почтовых ящиков на Microsoft Exchange Server 2007/2010/2013/2016

Аудит почтовых ящиков пользователей и общих почтовых ящиков в Exchange 2013/2016

Миграция CodeTwo Exchange: простая миграция почтовых ящиков на Exchange 2013/2016