dolezel.net

Co není v hlavě, je v blogu...

"Microsoft Exchange" self-signed certifikát a jeho obnova

S tím, jak se pomalu ale jistě utahuje smyčka kolem on-premises Exchange instalací, se zpomalují i migrace na novější verze. A tak se snadno může stát, že jedna verze běží beze změny více než 5 let. A v takovém případě hrozí, že expiruje self-signed certifikát s Friendly-name "Microsoft Exchange", který byl vystaven a nastaven instalačním programem. Certifikát má platnost 5 let - a to není zas tak dlouho :(

Nejlepší postup jsem našel tady - https://ehloergosum.com/2020/01/25/renewing-that-pesky-microsoft-exchange-certificate/.

Nejdřív musím identifikovat otisk certifikátu, který chci obnovit.

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Otisk, který to vrátí, vložím do následujícího příkazu:

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -Force -PrivateKeyExportable $true

No jo, jenže to není všechno. Tento certifikát není pro server důvěryhodný a navíc se nezměnil certifikát v IIS bindings, zpravidla je použit v "Exchange Back End" webu, který poslouchá na portu TCP/444.

A jako třešnička na dortu je potřeba IISRESET.

Pokud se jedná o DAG, tak si celou šarádu můžete zopakovat i na dalších uzlech, protože byly zpravidla instalovány ve stejnou dobu.

Důvěryhodnost certifikátu se nejsnáze zařídí přes certlm.msc, naštěstí funguje pravoklik, Copy nad certifikátem v Personal / Certificates a následně pravoklik Paste nad Trusted Root Certification Authorities / Certificates.

Bindings se nastavují v IIS Manageru. A když už certifikát není použit v IIS Manageru, bylo by fajn v certlm.msc provést krapet úklid a smazat expirované certifikáty v obou výše zmíněných umístěních.

Pro tisk

Přidat komentář

Loading