Exchange 2013 Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2013 wersja 1.0
Spis treści 1. GENEROWANIE ŻĄDANIA WYSTAWIENIA CERTYFIKATU (NA PRZYKŁADZIE CERTYFIKATU TYPU WILDCARD I DOMENY EXCHANGE2013.UNIZETO.LOCAL). 3 2. WYSYŁANIE ŻĄDANIA DO CERTUM... 8 3. INSTALACJA CERTYFIKATÓW POŚREDNICH NA SERWERZE... 11 4. INSTALACJA CERTYFIKATU... 13 5. PRZYPISYWANIE USŁUG DO CERTYFIKATU WILDCARD SSL... 18 6. WERYFIKACJA USTAWIEŃ PO ZAKOŃCZENIU IMPORTU CERTYFIKATU... 20 7. ODNOWIENIE ISTNIEJĄCEGO CERTYFIKATU... 21 8. WYKONYWANIE KOPII ZAPASOWEJ CERTYFIKATU I KLUCZA PRYWATNEGO 24 UNIZETO TECHNOLOGIES S.A.
1. Generowanie żądania wystawienia certyfikatu (na przykładzie certyfikatu typu Wildcard i domeny exchange2013.unizeto.local) Domyślnie serwer pocztowy Exchange 2013 używa certyfikatu wystawionego samemu sobie, który nie jest automatycznie rozpoznawany jako zaufany w przeglądarkach WWW i programach pocztowych. Możliwe jest jednak skonfigurowanie certyfikatu uzyskanego od zaufanego centrum certyfikacji. Aby skonfigurować własny certyfikat należy wygenerować nowe żądanie o wydanie takiego certyfikatu. Aby wykonać ten proces należy uruchomić Centrum administracji Exchange. W tym celu uruchom przeglądarkę internetową (np. Internet Explorer), wpisz adres: https://fqdn_serwera/ecp gdzie: FQDN - Pełna kwalifikowana nazwa domenowa serwera Ecp nazwa aplikacji Centrum administracji Exchange 3 3
Następnie wpisz dane do logowania. W kolejnym kroku wybierz Serwery. Następnie wybierz opcję Certyfikaty. Na ekranie pojawi się kreator generowania żądania CSR. W pierwszym kroku wybierz Utwórz żądanie certyfikatu od urzędu certyfikacji. 4 4
Przejdź przyciskiem Dalej. W kolejnym kroku zdefiniuj przyjazną nazwę, przejdź przyciskiem Dalej. W kolejnym kroku zdefiniuj domenę główną. Jeśli certyfikat ma obsługiwać sub-domeny należy zaznaczyć pole wielokrotnego wyboru. To pozwoli na zdefiniowanie domeny certyfikatu Wildcard 5 5
(*.exchange2013.unizeto.local). Następnie wskaż miejsce przechowywania nowego żądania certyfikatu. Następnie uzupełnij pola o następujące informacje: nazwa organizacji, jednostka organizacyjna, kraj, miasto, województwo. 6 6
W kolejnym kroku wskaż miejsce zapisu tworzonego żądania w formacie UNC. Finalizuj proces tworzenia żądania nowego certyfikatu przyciskiem Zakończ. Żądanie zostanie utworzone i zapisane we wskazanej lokalizacji. W konsoli Exchange pojawi się pozycja z żądaniem oczekującym. 7 7
2. Wysyłanie żądania do CERTUM Po zalogowaniu do systemu CERTUM, mając wygenerowane żądanie oraz złożone zamówienie w sklepie, wypełniamy formularz zgłoszeniowy i wklejamy żądanie CSR na stronie CERTUM. W tym celu wybierz menu Aktywacja certyfikatów. Następnie wybierz typ certyfikatu Wildcard SSL i aktywuj go przyciskiem Aktywuj. Wybierz CSR jako sposób dostarczenia klucza do certyfikatu. Następnie przejdź do kolejnego kroku przyciskiem Dalej. Wklej żądanie CSR, przejdź do kolejnego kroku przyciskiem Dalej. 8 8
UWAGA: W celu wklejania certyfikatu na stronie należy skopiować fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), używając do tego celu edytora tekstowego. Upewniamy się, że w polu E-mail jest wpisany poprawny adres (na ten adres zostaną wysłane dalsze instrukcje). Pojawi się strona, na której możemy się upewnić, że nasze żądanie CSR zostało wygenerowane na prawidłowe dane. 9 9
Uwaga: Należy się upewnić, że w polu podmiot jest wpisana poprawna nazwa naszej strony (jeśli kupujemy certyfikat na domenę www.moja.domena.pl upewnijmy się, że ta nazwa widnieje w tym polu)!!! Istnieje również możliwość zmiany okresu ważności certyfikatu. Upewniwszy się co do poprawności wprowadzonych danych należy potwierdzić załączone oświadczenie klikamy Aktywuj. Żądanie certyfikatu zostało wysłane do Centrum Certyfikacji. Na konto email podane w żądaniu zostaną przesłane informacje dalszego postępowania. 10 10
3. Instalacja certyfikatów pośrednich na serwerze Uwaga! Czynności opisane w niniejszym rozdziale należy wykonać tylko w przypadku braku zaświadczeń certyfikacyjnych w systemie Windows 2008/2012 server. Bardzo ważnym elementem są certyfikaty urzędów pośrednich. Należy je zainstalować na serwerze WWW aby przeglądarka internetowa poprawnie zweryfikowała wystawcę certyfikatu. Proszę wejść na stronę certum.pl i z górnego menu wybrać Obsługa certyfikatów a następnie Zaświadczenia i klucze. Proszę zapisać certyfikaty urzędów Certum CA, Certum Level I CA, Certum Level II CA, Certum Level III CA oraz Certum Level IV CA. Proszę wybrać certyfikaty dla serwerów SSL/TLS: http://www.certum.pl/certum/cert,wiedza_zaswiadczenia_klucze_certum.xml#certum%20ca http://www.certum.pl/certum/cert,wiedza_zaswiadczenia_klucze_certum.xml#lev1 http://www.certum.pl/certum/cert,wiedza_zaswiadczenia_klucze_certum.xml#lev2 http://www.certum.pl/certum/cert,wiedza_zaswiadczenia_klucze_certum.xml#lev3 http://www.certum.pl/certum/cert,wiedza_zaswiadczenia_klucze_certum.xml#lev4 Zalecaną metodą jest dystrybucja zaświadczeń certyfikacyjnych w domenie. Czynności te należy wykonać na kontrolerze domeny. W pierwszym kroku uruchom linię poleceń. Wpisz i uruchom poniższe polecenia certutil f dspublish CertumCA.cer NTAuthCA certutil f dspublish LevelIVCA.cer NTAuthCA certutil f dspublish CertumCA.cer RootCA W celu instalacji certyfikatów roota oraz pośrednich należy z menu Start-Programs-Administrative Tools wybrać Group Policy Management. UWAGA: W celu instalacji konsoli Group Policy Management wykonaj czynności opisane pod adresem: http://technet.microsoft.com/en-us/library/cc754841.aspx Po uruchomieniu konsoli Group Policy Management należy zaimportować zapisane wcześniej certyfikaty Certum CA do Trusted Root Certification Authorities 11 11
oraz Certum Level I CA, Certum Level II CA, Certum Level III CA oraz Certum Level IV CA do Intermediate Certification Authorities. Odświeżenie zasad grup GPO spowoduje automatyczną dystrybucję certyfikatów w domenie. 12 12
4. Instalacja Certyfikatu Po wykonaniu powyższej procedury z poprzedniego punktu otrzymamy stosownego e-maila z informacją o wystawieniu certyfikatu. 13 13
Należy zalogować się na swoje konto sklepu https://sklep.unizeto.pl 14 14
Następnie z sekcji Zarządzanie certyfikatami wybierz wystawiony certyfikat. Rozwiń informacje o certyfikacie a następnie zapisz certyfikat w postaci binarnej *.cer lub tekstowej *.pem Kolejnym krokiem jest instalacja certyfikatu w serwerze Exchange 2013. W konsoli Centrum administracji Exchange znajdź Serwery-Certyfikaty. W środkowej sekcji zaznacz żądanie oczekujące certyfikatu. Następnie wybierz opcje w celu importu certyfikatu lub wybierz opcję Ukończ. 15 15
Podaj ścieżkę do pliku certyfikatu zapisanego w poprzednim kroku. Należy zachować format UNC. Pole z hasłem należy pozostawić puste. W kolejnym kroku należy określić serwer, dla którego chcesz zastosować certyfikat. Proces importu certyfikatu sfinalizuj przyciskiem Zakończ. 16 16
W sekcji gdzie znajdują się certyfikaty znajduje się zaimportowany certyfikat. Zaznacz z listy zaimportowany certyfikat, następnie kliknij dwukrotnie na nim lub wybierz ikonę ołówka. Na ekranie pojawią się informacje o certyfikacie. W zakładce Ogólne znajdziesz takie informacje jak: Przyjazna nazwa Stan Wystawca Termin wygaśnięcia Temat Alternatywna nazwa tematu Odcisk palca Natomiast w zakładce usługi znajdują się informacje na temat przypisanych usług do danego certyfikatu. 17 17
5. Przypisywanie usług do certyfikatu Wildcard SSL W celu przypisania usług takich jak: POP, SMTP, IMAP, IIS do zainstalowanego certyfikatu należy zaznaczyć certyfikat. Następnie należy wywołać ikonę ołówka i wybrać zakładkę Usługi. Na ekranie pojawi się kreator pozwalający na przypisanie usług do certyfikatu. Wskaż usługi z którymi ma być powiązany certyfikat (np. Internet Information Services, SMTP). Na ekranie pojawi się komunikat informujący o nadpisaniu domyślnego certyfikatu, dotychczas używanego dla wskazanych usług. Potwierdź przyciskiem tak zmianę przypisanego certyfikatu. 18 18
Proces przypisania certyfikatu do wskazanych usług został zakończony. 19 19
6. Weryfikacja ustawień po zakończeniu importu certyfikatu W celu sprawdzenia poprawności całego procesu, uruchom przeglądarkę i wpisz adres https://nazwa_serwera/nazwa aplikacji np. https://mail.exchange2013.unizeto.local/owa. O poprawności importu certyfikatu i jego certyfikatu świadczy ikona żółtej kłódki obok paska adresu. Jest to informacja, że certyfikat został wystawiony i uwiarygadnia tożsamość witryny. 20 20
7. Odnowienie istniejącego certyfikatu W wersji Exchange 2013 istnieje możliwość odnowienia istniejącego certyfikatu, którego ważność zbliża się do końca. Jest to skrócony proces pozyskiwania certyfikatu. Tworzone żądanie wykorzystuje dane zawarte w istniejącym certyfikacie. W celu odnowienia certyfikatu zaloguj się do Centrum administracji Exchange. Po zalogowaniu wybierz sekcję Serwery-Certyfikaty. Wskaż certyfikat, który chcesz odnowić, następnie wybierz opcję Odnów. Na ekranie pojawi się okno pozwalające na zapis żądania certyfikatu do pliku. Wskaż lokalizację zapisu w formacie UNC. 21 21
Po zakończeniu procesu generowania żądania i jego zapisania wykonaj czynności opisane w pkt. 2 niniejszej dokumentacji. Po pozyskaniu certyfikatu należy ukończyć proces pozyskiwania certyfikatu. W tym celu zaznacz z listy żądanie oczekujące i z prawej strony okna wybierz opcję Ukończ. 22 22
Następnie wskaż lokalizację pliku z certyfikatem i potwierdź jego import. Proces odnowienia zostanie zakończony. Należy również pamiętać aby przypisać odnowiony certyfikat do wybranych usług. Opis w jaki sposób przypisuje się certyfikat do grupy usług znajduje się w pkt.5. 23 23
8. Wykonywanie kopii zapasowej certyfikatu i klucza prywatnego W celu wykonania kopii klucza prywatnego uruchom Centrum administracji Exchange, z listy wskaż zainstalowany certyfikat. Następnie z menu kontekstowego wybierz ikonę, a następnie eksport certyfikatu do pliku. W kolejnym kroku należy podać lokalizację zapisu pliku, jego nazwę oraz hasło chroniące plik pfx. 24 24
Po potwierdzeniu eksportu przyciskiem ok, należy przy użyciu eksploratora Windows przejść do wskazanego udziału i sprawdzić czy znajduje się zapisany plik. 25 25