Решено Проблема, после продления сертификата Microsoft Exchange, отвалилась база почты и перестал заходить в Центр Администрирования Exchange

[Vital_bv]

Здравствуйте! Достался мне после сисадмина сервер Microsoft Exchange 2013. Через Центр администрирования Exchange - Сертификаты вижу 3 сертификата:
1) Microsoft Exchange - скоро закончится. Службы - SMTP, IIS
2) Наш_домен.ru_new - срок до 27 года. Службы - SMTP, IMAP, POP, IIS
3)Microsoft Exchange Server Auth Certificate - срок действия до 28 года. Службы - SMTP.
Все 3 сертификата - самозаверяющие. Месяц назад увидел, что 3-ий сертификат кончается, в Центре администрирования Exchange нажал "Продлить". Всё продлилось автоматически и никаких проблем и ошибок в работе не было. Прошло 3 недели. Осталось 2 недели до завершения 1-го сертификата. Решил и его продлить. Так же нажал "Продлить", нажал пару кнопок. В Центре Администрирования Exchange в разделе сертификаты этот 1-ый сертификат стал показывать, что продлён до 28 года. Стали звонить сотрудники, что у них Оутлук стал писать про недействительный сертификат, вэб-интерфейс корп.почты перестал открываться. Почитал в интернете, пишут среди прочего - перезагрузи сервак. Перезагрузил. Отвалилась база на самом серваке. При попытке зайти через Exchange Management Shell - выдал кучу ошибок, что невозможно подключить базу. Откатился из резервной копии. Сейчас сервак работает, сертификат №1 закончится 16 мая.
В диспетчере служб IIS нашёл следующее:
Сайты - Default web site - изменить привязку - https - 443 port - стоит сертификат №2, который был давно обновлён прошлым админом и действует до 27 года.
А Сайты - Exchange Back End - https - 444port - выбран тот, что я пытался обновить.
Вопрос: стоит ли его продлевать или просто дождаться окончания и продолжить работать на сертификате №2, если так будет работать? Или подскажите как безопасно продлить этот сертификат.

 

[Goblin]

Дайте вывод Get-ExchangeCertificate | fl
Путаница какая то

 

[Vital_bv]

 

[NanoSuit]

Как продлить сертификат Exchange, если у вас есть свой центр сертификации.
1. Генерируем запрос на сертификат из вебморды Exchange - ECP
Выбираете

Создать запрос на сертификат, подписанный центром сертификации

Сохраняете запрос на какую-нибудь шару вида \\server\folder\
Сертификат должен содержать все используемые вами имена, autodiscover.domen.ru, server.domen.ru и тп
2. Открываете этот файл блокнотом и копируете содержимое.
3. Переходите в свой ЦС https: //ВАШ_ЦС/certsrv/
Выбираете запрос сертификата - расширенный запрос сертификата, и вставляете ваш запрос сертификата (см картинку)
Шаблон сертификата = Веб сервер

Нажимаете выдать и сохраните файл на ту же шару.
4. В Exchange ECP выберите ваш запрос из п1 и завершите выдачу сертификата выбрав файл из п 3
5. Назначьте сертификат необходимым службам, iis smtp и тд.
6. После этого в exchange shell введите iisreset (перезапуск iis).
Вроде все. В оснастке iis вроде бы лазить не нужно для перевыпуска сертификата

 

[Vital_bv]

На скрине - 1- это 3-ий из моего текста, 2 - 2, а 3- 1-ый из текста

 

[Vital_bv]

Как продлить сертификат Exchange, если у вас есть свой центр сертификации.
1. Генерируем запрос на сертификат из вебморды Exchange - ECP
Выбираете

Сохраняете запрос на какую-нибудь шару вида \\server\folder\
Сертификат должен содержать все используемые вами имена, autodiscover.domen.ru, server.domen.ru и тп
2. Открываете этот файл блокнотом и копируете содержимое.
3. Переходите в свой ЦС https: //ВАШ_ЦС/certsrv/
Выбираете запрос сертификата - расширенный запрос сертификата, и вставляете ваш запрос сертификата (см картинку)
Шаблон сертификата = Веб сервер
Посмотреть вложение 11691
Нажимаете выдать и сохраните файл на ту же шару.
4. В Exchange ECP выберите ваш запрос из п1 и завершите выдачу сертификата выбрав файл из п 3
5. Назначьте сертификат необходимым службам, iis smtp и тд.
6. После этого в exchange shell введите iisreset (перезапуск iis).
Вроде все. В оснастке iis вроде бы лазить не нужно для перевыпуска сертификата

Спасибо! Попробую. Напишу потом

 

[Goblin]

По идее один сертификат надо продлевать

 

[Vital_bv]

По идее один сертификат надо продлевать

Я не знаю по какой причине и как их расплодилось столько. Сделаю резервную копию на выходных и попробую по инструкции выше. Если что - откачусь на бэкап. Не понятно почему так база отвалилась. К сожалению не было много времени на исследования и протоколирования - был рабочий день и много сотрудников были явно не в восторге, что работа встала, пришлось быстро восстанавливаться.

 

[Apossum]

В Exchange есть дефолтные сертификаты. В 2013 не помню что, но в 2016 и старших версиях

Microsoft Exchange
Этому самозаверяющему сертификату Exchange присущи следующие возможности:
- Сертификат автоматически становится доверенным для всех остальных серверов Exchange в организации. Сюда входят все пограничные транспортные серверы, подписанные организацией Exchange.
- Сертификат автоматически включается для всех служб Exchange, кроме единой системы обмена сообщениями, и используется для шифрования внутренней связи между серверами Exchange, службами Exchange на одном компьютере и клиентскими подключениями, которые передаются из служб клиентского доступа на серверы почтовых ящиков. (Примечание. UM недоступна в Exchange 2019.)
- Сертификат автоматически активируется для входящих подключений с внешних серверов обмена сообщениями SMTP и исходящих подключений к внешним серверам обмена сообщениями SMTP. Эта конфигурация по умолчанию позволяет Exchange предоставлять оппортунистические протоколы TLS для всех входящих и исходящих SMTP-подключений. Exchange пытается зашифровать сеанс SMTP на внешнем сервере обмена сообщениями, но если внешний сервер не поддерживает шифрование TLS, сеанс не шифруется.
- Сертификат не обеспечивает шифрованную связь с внутренними или внешними клиентами. Клиенты и серверы не доверяют самозаверяющему сертификату Exchange, так как сертификат не определен в их хранилищах доверенных корневых сертификатов.


Сертификат проверки подлинности Microsoft Exchange Server
Этот самозаверяющий сертификат Exchange используется для проверки подлинности между серверами и интеграции с помощью OAuth.

WMSVC
Этот самозаверяющий сертификат Windows используется службой веб-управления IIS для удаленного управления веб-сервером и связанными с ним веб-сайтами и приложениями.
Если вы удалите этот сертификат и не выберете действительный сертификат, служба веб-управления не запустится. Наличие службы в этом состоянии может помешать установке обновлений Exchange или удалению Exchange с сервера.

 

[Vital_bv]

В Exchange есть дефолтные сертификаты. В 2013 не помню что, но в 2016 и старших версиях

Microsoft Exchange
Этому самозаверяющему сертификату Exchange присущи следующие возможности:
- Сертификат автоматически становится доверенным для всех остальных серверов Exchange в организации. Сюда входят все пограничные транспортные серверы, подписанные организацией Exchange.
- Сертификат автоматически включается для всех служб Exchange, кроме единой системы обмена сообщениями, и используется для шифрования внутренней связи между серверами Exchange, службами Exchange на одном компьютере и клиентскими подключениями, которые передаются из служб клиентского доступа на серверы почтовых ящиков. (Примечание. UM недоступна в Exchange 2019.)
- Сертификат автоматически активируется для входящих подключений с внешних серверов обмена сообщениями SMTP и исходящих подключений к внешним серверам обмена сообщениями SMTP. Эта конфигурация по умолчанию позволяет Exchange предоставлять оппортунистические протоколы TLS для всех входящих и исходящих SMTP-подключений. Exchange пытается зашифровать сеанс SMTP на внешнем сервере обмена сообщениями, но если внешний сервер не поддерживает шифрование TLS, сеанс не шифруется.
- Сертификат не обеспечивает шифрованную связь с внутренними или внешними клиентами. Клиенты и серверы не доверяют самозаверяющему сертификату Exchange, так как сертификат не определен в их хранилищах доверенных корневых сертификатов.


Сертификат проверки подлинности Microsoft Exchange Server
Этот самозаверяющий сертификат Exchange используется для проверки подлинности между серверами и интеграции с помощью OAuth.

WMSVC
Этот самозаверяющий сертификат Windows используется службой веб-управления IIS для удаленного управления веб-сервером и связанными с ним веб-сайтами и приложениями.
Если вы удалите этот сертификат и не выберете действительный сертификат, служба веб-управления не запустится. Наличие службы в этом состоянии может помешать установке обновлений Exchange или удалению Exchange с сервера.

Понял, учту. Спасибо!

 

[BigJOE]

Пару образцов для создания сертификатов
Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate -PrivateKeyExportable $true

или
New-ExchangeCertificate -GenerateRequest -SubjectName "c=US,o=Woodgrove Bank,cn=mail.woodgrovebank.com" -DomainName autodiscover.woodgrovebank.com,mail.fabrikam.com,autodiscover.fabrikam.com -RequestFile "C:\Cert Requests\woodgrovebank.req"

$txtrequest = New-ExchangeCertificate -GenerateRequest -SubjectName "c=US,o=Woodgrove Bank,cn=mail.woodgrovebank.com" -DomainName autodiscover.woodgrovebank.com,mail.fabrikam.com,autodiscover.fabrikam.com
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\woodgrovebank.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

 

[Vital_bv]

Спасибо всем откликнувшимся! Сделал следующим образом: Так как в одном из 3 сертификатов присутствующих на сервере Exchange, были прописаны все службы, срок его действия ещё несколько лет, было принято решение попробовать оставить его, а тот сертификат, который заканчивается - удалить.
1) Сделал резервные копии виртуальных дисков с операционкой и самой базой.
2)На сервере Exchange в диспетчере служб IIS кончающийся сертификат был привязан к Exchange Back End. "Изменить привязки" - "https" порт 444 - сменил кончающийся сертификат на тот, что был выпущен ранее.
3)Перезапустил сервер IIS
4)Exchange Management Shell (EMS) с помощью "Get-ExchangeCertificate" увидел значение Thumbprint удаляемого сертификата, скопировал
5)EMS удалил сертификат с помощью "Remove-ExchangeCertificate -Thumbprint 'скопированное значение моего сертификата'"
Перезагрузил сервак, проверил подключение к админ панели, EMS, подключение с клиентов через Outlook, через mail.нашдомен/owa, отправка-получение почты всё работает. Первый день - полёт нормальный, пользователи проверяют на работоспособность после изменения.