Come rinnovare certificato scaduto Exchange 2007

Sun, Feb 28, 2010 · 694 views ·  Print This Post ·  Email This Post

Se dovete rinnovare i certificati di Exchange 2007 la procedura è abbastanza semplice, si tratta di richiedere alla proprio CA (Certification Authority) interna un nuovo certificato ed installarlo sui server che ospitano la componente HUB e OWA di Exchange. I certificati di solito vanno rinnovati ogni anno sui server HUB e OWA di Exchange 2007 per facilitare le operazioni di solito nel proprio dominio è installato il servizio CA di microsoft che è un componente di Windows Server 2003/2008. Quindi se avete Exchange 2007 e dovete rinnovare i certificati potete seguire queste semplici istruzioni che indicano anche come installare il servizio CA di microsoft nella propria infrastruttura .
Per prima cosa vediamo come installare il servizio CA di microsoft, l’esempio che segue prevede l’utilizzo di windows server 2003, con windows 2008 le operazioni sono pressoché identiche, cambia solo il menù di installazione dei ruoli.

Come installare una CA su windows server

Per installare CA dovete prima installare IIS e ASP, andate in:

Pannello di controllo -> installazione applicazione
Windows Components-> Application Server

Dopo aver installato IIS e ASP possiamo installare la CA sul server, andiam sempre in

Pannello di controllo->Installazione applicazioni
Windows Components->Certificate Service e poi spuntate la voce “Certificate Services”

Comparirà un popup che in informerà che non potrete più cambiare il nome del server dopo aver installato la CA, Premete quindi “yes”

Andate avanti con Next e nella finestra che segue selezionate  “Enterprise Root CA”

Nel campo “common name for this CA:” inserite il nome del server nel quale state installando la CA, oppure un altro valore significativo che identifichi la vostra CA in maniera univoca. Premete Next e in seguito confermate la directory del db dei log.

IIS verrà spento e riavviato, attivate Active Server Pages come richiesto dal messaggio di popup:

A questo punto la CA sarà installata correttamente.
La CA sarà poi raggiungibile dal browser internet explorer con il seguente indirizzo: http://nome_server/certsrv/Default.asp e ovviamente dalla console tramite gli Admin Tools.

Come rinnovare i certificati di Exchange 2007

Per prima cosa bisogna creare il certificato negli hub/owa dell’exchange, bisogna aprire la powershell e digitare il seguente comando :

New-ExchangeCertificate -GenerateRequest -Path c:\nomeserver_nomedominio_it.csr -KeySize 2048 -SubjectName "c=IT, s=Italy, l=Milan, o=NomeSocieta, ou=Information Technology, cn=nomeserver.nomedominio.it" -DomainName nomeserver.nomedominio.it -PrivateKeyExportable $True

Andate al sito https://www.digicert.com/easy-csr/exchange2007.htm per generare una struttura di comando simile a quella descrita sopra, dovrete compilare i campi relativi al nome del vostro server,dominio etc..

Ecco uno screenshots, dell’ottimo sito.

Copiare e incollate il comando generato nella powershell del server,verrà creato in C:\ un file nomeserver_nomedominio_it.csr

Richiamate la CA installata in precedenza o già presente,andate all’indirizzo http://nome_server/certsrv/Default.asp e poi cliccate su “Request certificate”

Cliccate poi su “Advanced certificate request”

Poi cliccate su “Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.”

Importate il file nomeserver_nomedominio_it.csr  depositato in C:\ oppure copiate ed incollate il contenuto del file nomeserver_nomedominio_it.csr  nell’apposita finestra, nel campo  “Certificate Template:” selezionate Web Server.
NOTA:  a seconda della versione della CA installata sul server il campo “Certificate Template” potrebbe non comparire.

Cliccate poi su Submit, a questo punto se avete installato la CA con le istruzioni indicate sopra, vi verrà mostrata questa schermata e potrete scaricare ed installare il certificato, cliccando su “Download certificate” e salvate il file certnew.cer in C:\

Se invece vi viene mostrata una schermata con scritto “Certificate Pending” dovete approvare a mano il certificato, andando direttamente sul server.

Bisogna quindi andare sul server della CA e dalla console approvare direttamente il certificato, sotto la voce “Pending Request” selezionare il certificato e poi con il tasto destro: All Tasks->Issue

Il certificato finirà in “Issued Certificates”, e sarà pronto per essere scaricato ed installato sul server Exchange. Richiamate di nuovo la CA http://vostro_server_ca/certsrv/ e selezionate poi  “View the status of a pending certificate request”, come spiegato sopra cliccate su “Download certificate” e salvate il file certnew.cer in C:\

A questo punto apriamo la powershell e installiamo il nuovo certificato con il comando:

import-exchangecertificate –path c:\certnew.cer | enable-exchangecertificate –services iis

E’ possibile verificare la corretta installazione del certificato con il comando powershell:

Get-ExchangeCertificate | fl

Se avete più certificati installati il primo che verrà mostrato sarà l’ultimo installato, quindi il primo certificato che viene mostrato deve essere quello appena installato, prendete nota del campo Thumbprint.

Verificate poi che la stringa Thumbprint ricavata in precedenza compaia in prima posizione sull’output del comando:

Get-ExchangeCertificate -DomainName your.domain.name

Ecco un esempio di output.

Come prima l’ultimo certificato installato sarà il primo a comparire, se compare la stringa di Thumbprint ricavata dal primo comando allora il certificato è installato correttamente.

Nel caso la stringa non comparisse potete completare l’installazione con il comando:

Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"

Al posto di “[paste]” dovete inserire il codice Thumbprint ricavato in precedenza.

Bene direi che è tutto, spero proprio che questi appunti con screenshots possano tornare utili a tutti i newbie di exchange e certificati. Se avete suggerimenti o correzioni fatemi sapere tutto nei commenti.

Vota l’articolo
(No Ratings Yet)
 Loading ...