"Microsoft Exchange" self-signed certifikát a jeho obnova
S tím, jak se pomalu ale jistě utahuje smyčka kolem on-premises Exchange instalací, se zpomalují i migrace na novější verze. A tak se snadno může stát, že jedna verze běží beze změny více než 5 let. A v takovém případě hrozí, že expiruje self-signed certifikát s Friendly-name "Microsoft Exchange", který byl vystaven a nastaven instalačním programem. Certifikát má platnost 5 let - a to není zas tak dlouho :(
Nejlepší postup jsem našel tady - https://ehloergosum.com/2020/01/25/renewing-that-pesky-microsoft-exchange-certificate/.
Nejdřív musím identifikovat otisk certifikátu, který chci obnovit.
Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
Otisk, který to vrátí, vložím do následujícího příkazu:
Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -Force -PrivateKeyExportable $true
No jo, jenže to není všechno. Tento certifikát není pro server důvěryhodný a navíc se nezměnil certifikát v IIS bindings, zpravidla je použit v "Exchange Back End" webu, který poslouchá na portu TCP/444. A jako třešnička na dortu je potřeba IISRESET.
Pokud se jedná o DAG, tak si celou šarádu můžete zopakovat i na dalších uzlech, protože byly zpravidla instalovány ve stejnou dobu.
Důvěryhodnost certifikátu se nejsnáze zařídí přes certlm.msc, naštěstí funguje pravoklik, Copy nad certifikátem v Personal / Certificates a následně pravoklik Paste nad Trusted Root Certification Authorities / Certificates.
Bindings se nastavují v IIS Manageru. A když už certifikát není použit v IIS Manageru, bylo by fajn v certlm.msc provést krapet úklid a smazat expirované certifikáty v obou výše zmíněných umístěních.