Не правильно импортировал https сертификат.

D

DJs3000

Почетный гость
Я линуксовый админ, но есть на подработке Exchange сервер. Как я понимаю разделен на две части. Одна виртуалка MBX, вторая CAS. Позаканчивалось кучу сертификатов и решил я их обновить. Зашел через web интерфейс "Центр управления Exchange", далее в сервера - сертификаты. Там понажимал "Продлить" и так обновил всё кроме просроченного Let’s Encrypt. В таком состоянии всё работало. После этого решил заняться https сертом. Сгенерировал серт при помощи win-acme, получив на выходе файл с расширением pfx. Импортировал сертификат, он появился в списке сертификатов в центре управления. Нажал на него, перешёл в службы и тыкнул на IIS, после чего страница логина owa отображается, но залогиниться не получается и ошибку не показывает никакую. Вроде как нужно было серт подтягивать через Power Shell, но PS на представленные команды не реагировал, буд-то у него нет нужных скриптов.
Помогите разобраться с этим и вернуть к жизни почту. Сейчас почта не ходит даже через аутлук.
 
Последнее редактирование:
DJs3000 сказал(а):
Я линуксовый админ, но есть на подработке Exchange сервер. Как я понимаю разделен на две части. Одна виртуалка MBX, вторая CAS. Позаканчивалось кучу сертификатов и решил я их обновить. Зашел через web интерфейс "Центр управления Exchange", далее в сервера - сертификаты. Там понажимал "Продлить" и так обновил всё кроме просроченного Let’s Encrypt. В таком состоянии всё работало. После этого решил заняться https сертом. Сгенерировал серт при помощи win-acme, получив на выходе файл с расширением pfx. Импортировал сертификат, он появился в списке сертификатов в центре управления. Нажал на него, перешёл в службы и тыкнул на IIS, после чего страница логина owa отображается, но залогиниться не получается и ошибку не показывает никакую. Вроде как нужно было серт подтягивать через Power Shell, но PS на представленные команды не реагировал, буд-то у него нет нужных скриптов.
Помогите разобраться с этим и вернуть к жизни почту. Сейчас почта не ходит даже через аутлук.
Нажмите, чтобы раскрыть...
Центр сертификации есть ? Какая версия exchange server ? Надо смотреть что на вкладке серверы - сертификаты в ECP
Если кратко - генеришь запрос на сертификат, сохраняешь его на шару, потом лезешь в свой ЦС и выдаешь сертификат на веб сервер, то что получится сохраняй там же на шаре. Затем идешь обратно в exchange ECP и подтверждаешь сертификат. Но это частный случай, а чего там у вас накручено - ХЗ
 
Goblin сказал(а):
Центр сертификации есть ? Какая версия exchange server ? Надо смотреть что на вкладке серверы - сертификаты в ECP
Если кратко - генеришь запрос на сертификат, сохраняешь его на шару, потом лезешь в свой ЦС и выдаешь сертификат на веб сервер, то что получится сохраняй там же на шаре. Затем идешь обратно в exchange ECP и подтверждаешь сертификат. Но это частный случай, а чего там у вас накручено - ХЗ
Нажмите, чтобы раскрыть...
Прикладываю 2 скрина.
 

Вложения

  • cas1.jpg
    cas1.jpg
    97,3 КБ · Просмотры: 1
И второй скрин.
 

Вложения

  • mbx1.jpg
    mbx1.jpg
    79,9 КБ · Просмотры: 2
В ECP(как я понял это Центр управления Exchange) я войти не могу почему-то. Скрины из IIS, там тоже серты отображаются.
 
Последнее редактирование:
И так, удалось выяснить, что Exchange 2013 и до меня дошло, что консоль запускается отдельно для Exchange. В атаче скрин с сертами. 4й серт в списке это тот, что я добавил самостоятельно. Я уже понял, что его нужно было добавлять, как веб серт, а не приватный, но как в самом сервере переназначить сертификат, мне не понятно.
1689705437789.png
 
Есть такая команда, как:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services SMTP,IMAP,POP,IIS
которая включает использование определенного сертификата под определенный сервис. Вот я через веб админку зачем-то сделал такую привязку свеже загруженного серта для IIS и по логике вещей мне бы нада сдеать так:
Disable-ExchangeCertificate -Thumbprint <Thumbprint> -Services IIS
Но почему-то у меня нет Disable-ExchangeCertificate...
 
Ещё одна вводная. Когда я запускаю Exchange Shell на MBX, то запускается всё корректно без ошибок, а при запуски такой же консоли на сервере CAS, то сипит ошибками мол не может подключиться к MBX. В результате нет доступа к базе с ящиками и конечно же ничего не работает. Как это исправить не понимаю. Могу сделать скрин с ошибкой.
 
При логировании начала писать так:
X-ClientId: KVKE - WMVQ - PEOL - JEQYG
X-FEServer: CAS1
Date: 19.07.2023 12:28:22
Актуальное время во момент логирование ровно на 3 часа больше т.е. 15:28
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх Низ