How to create SSL certificate in Exchange Server 2019
È importante proteggere le connessioni a Exchange Server con un certificato SSL. In questo articolo spieghiamo la procedura corretta per generare una richiesta di certificato, completare la richiesta di certificato e assegnare i servizi al certificato.
Gli stessi passaggi descritti in questo articolo possono essere usati per rinnovare un certificato di terze parti in Exchange Server.
1) Crea cartella condivisa
Per prima cosa è necessario disporre di una cartella cosdivisa sul server di Exchange.
Create quindi una cartella e impostate i diritti di condivisione per l’utente administrator.
2) Creare la richiesta per generare il certificato SSL
A partire da Exchange Server 2016 CU23 e versioni successive ed Exchange Server 2019 CU12 e versioni successive, l’unica opzione per creare il certificato di Exchange è con PowerShell (Exchange Management Shell).
Eseguire Exchange Management Shell come amministratore. Esegui il cmdlet New-ExchangeCertificate e inserisci i dettagli:
Server : specifica il server Exchange su cui generare la richiesta.
GenerateRequest : prepara una richiesta di certificato di terze parti.
FriendlyName : il nome descrittivo del certificato.
PrivateKeyExportable : consente di esportare/importare il certificato su altri server Exchange.
ObjectName : il campo dell’oggetto della richiesta di certificato.
DomainName : specifica uno o più FQDN.
Esempio :
$txtrequest = New-ExchangeCertificate -Server “Hostname server” -GenerateRequest -FriendlyName “Exchange Certificate 3rd party” -PrivateKeyExportable $true -SubjectName “c=IT, s=Paese, l=Citta, o=Nomeorganizzazione, ou=IT, cn=exchange.miodominio.it” -DomainName exchange.miodominio.it,autodiscover.miodominio.it
Nota: per impedire l’uso improprio dei percorsi UNC da parte di utenti malintenzionati, Microsoft ha rimosso i parametri che accettano percorsi UNC come input dai cmdlet di Exchange Server PowerShell e dall’interfaccia di amministrazione di Exchange. Queste modifiche influenzeranno tutte le versioni di aggiornamento cumulativo (CU) di Microsoft Exchange Server 2019 (CU12 e versioni successive) e Microsoft Exchange Server 2016 (CU23 e versioni successive).
Successivamente esportiamo il file con la richiesta di certificazione con il seguente comando:
[System.IO.File]::WriteAllBytes(‘\\Hostname Server\Cartellacondivisa\ExchangeCert.req’, [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
Accedi al Centro di amministrazione di Exchange. Vai su server > certificati . Verifica di visualizzare il certificato di Exchange con lo stato di richiesta in sospeso .
3) Elaborare la richiesta di certificato di scambio
Vai alla cartella condivisa e apri ExchangeCert.req con Blocco note.
Successivamente, copia la richiesta di certificato.
Accedi all’autorità di certificazione di terze parti. Questa può essere una qualsiasi delle tue scelte. Assicurati di selezionare un certificato multidominio perché nel certificato è presente più di un nome di dominio.
Incolla la richiesta di certificato copiata e controlla che le informazioni CSR siano corrette. Mostrerà il nome dell’azienda e i domini.
4) Completa la richiesta di certificato di scambio
Il certificato è pronto per essere scaricato dall’autorità di certificazione. Scaricare e decomprimere il certificato dall’autorità di certificazione nella cartella condivisa di Exchange Server.
Assegnare al certificato un nome accessibile. Nel nostro esempio, il nome del certificato è Exoip.crt .
Eseguire il cmdlet Import-ExchangeCertificate per completare il certificato in sospeso.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes(‘\\HostnameServer\Cartellacondivisa\Exoip.crt’)) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String ‘P@ssw0rd1’ -AsPlainText -Force)
Il certificato di Exchange mostrerà lo stato Valido
5) Assegna i servizi Exchange al certificato
Fare doppio clic sul certificato e copiare l’ identificazione personale del certificato .
Eseguire il cmdlet Enable-ExchangeCertificate per assegnare servizi al certificato. Inserisci il valore dell’identificazione personale che hai copiato.
Enable-ExchangeCertificate -Server "EX01-2019" -Thumbprint 6C31EB21621378CB5454A32F2DF0D1F87FAF69C5 -Services SMTP,IMAP,IIS -Force
6) Riavviare l’IIS
Riavviare Internet Information Services (IIS) su Exchange Server, per applicare le modifche.
C:\iisreset
7) Verifica il nuovo certificato di Exchange
Vai all’URL di Outlook Web Access (OWA) o all’URL dell’interfaccia di amministrazione di Exchange (EAC). Verificare che la connessione al sito Web sia sicura. Inoltre, controlla che il client Outlook si avvii senza errori.
Gli stessi passaggi descritti in questo articolo possono essere usati per rinnovare un certificato di terze parti in Exchange Server.
ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT
Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.
Non perderti nemmeno un articolo!
Iscriviti alla nostra newsletter inserendo la tua mail qui :
You may manage your subscription options from your profile.