Ты мне как-то помог с перемещением почтовой базы на TechNet...

Тут решил обзавестись сертификатом, но застрял в самом начале.

Все делаю строго по пунктам, но никак не появляется Subject Alternative Name в списке сертификата.

Сервер 2008R2 Standart, ADC, Exchange 2010.

Делаю все именно так:

1.Отмечаю галкой роль «Службы сертификации AD», далее;

2.Отмечаю «Центр сертификации», «Служба регистрации в центре сертификации через Интернет», далее;

3.Задание типа установки — «Предприятие», далее;

4.Задание типа ЦС – «Корневой ЦС», далее;

5.Установка закрытого ключа «Создать новый закрытый ключ», далее;

6.Шифрование «RSA (SHA1) », Галочку «Разрешить взаимодействие с администратором…. – не ставлю, далее;

7.Имя – оставляю по умолчанию, далее;

8.Срок – 5 лет, далее;

9.Расположение по умолчанию, далее;

10.Устанавливаем;

11.В PowerShell (x86) вставляю «certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2», пишет, что выполнилось успешно;

12.Перезапускаю службу «certsvc»;

13.Захожу в диспетчер сервера, службы сертификации AD, нахожу сертификат, и нет там SAN (Дополнительное имя субъекта).

Очередной раз нуждаюсь в твоей помощи:)

Что я делаю не так?

Большое спасибо за ранее.

сделал всё по шагах и заработало!! ))

однозначно не могу сказать где я ошибся, но думаю где-то с сертификатом напортачил...

формируя запрос на веб-мордочку нужно было заходить с сервера на котором установлен Exchange, а не ЦС. )

у меня TMG является членом домена, по этому манипуляции с LDAP не проводил, а выбрал проверку подлинности «Active Directory (Windows)»

по внешнему урл захожу без проблем: выбираю «Продолжить открытие этого веб-узла», появляется Outlook Web App, ввожу domen\username и password, «Вход в систему» и вижу:

Не удается отобразить страницу. Код ошибки: 500 Внутренняя ошибка сервера. Параметр задан неверно. (87)

всё делал по инструкции, в чем тонкость??

всемогущий ребут и правильный урл (не имя ЦС, а имя хоста нужно) и чудесным образом веб-мордочка показала свой интерфейс. ))

но у меня почему-то в «Шаблонах сертификатов» отсутствует «Веб-сервер» (как показано на скрине данной статьи), а есть только «Пользователь» и «Базовое шифрование EFS» !

хотя в оснастки «Центр сертификации» он присутствует!

P.S. с начала я проморгал этот момент и при подтверждении сертификата на сервере Exchange он у меня просто исчез! О_о

застрял на Запросе сертификата через веб-мордочку. ЦС обозвал SRV-FR-CA, вбиваю в браузер srv-fr-ca/certsrv и ничего! даже при отключенной усиленной безопасности в IE8 — ничего!

еще пробовал «Выдать новый запрос...» в самой оснастки «Центр сертификации», но после выбора файла *.req ничего не происходит!

что я пропустил??

это не крайность, просто вариант сценария. Вы ведь отрицаете возможность хищения ключа? А я отрицаю возможность перехвата трафика.

> Специальные средства, HSM, смарт карты с доступом к закрытому ключу с вводом пин-а — они действительно решают свою задачу — безопасное хранение закрытых ключей, в отличае от пометки ключа неэкспортируемым.

Безусловно это так. Но эти средства стоят относительно больших денег (скажем, те же HSM по несколько килобаксов) и обеспечивают высокий уровень защиты. Компании неориентированные в этом направлении либо неспособны купить такое решение или не осознаёт/считает нецелесообразным его необходимость. Поэтому для бюджетных решений целесообразно применять хотя бы такие простые меры для снижения вероятности выноса ключей.

> Не знаком с таким способом...

вот поэтому вы так немного легкомысленно относитесь к такой простой, но вполне достаточной мере защиты ключей от выноса.

Зачем же переходить в другую крайность...

> Да и производители HSM тоже продают свою продукцию для исключения лишь каких-то надуманных сценариев.

Специальные средства, HSM, смарт карты с доступом к закрытому ключу с вводом пин-а — они действительно решают свою задачу — безопасное хранение закрытых ключей, в отличае от пометки ключа неэкспортируемым.

> тогда даже админских прав и специальной программы не надо для выноса ключей

Не знаком с таким способом... Можете поделиться?

с таким подходом можно сказать, что перехват трафика тоже надуман и сертификатами SSL можно смело пренебречь. Да и производители HSM тоже продают свою продукцию для исключения лишь каких-то надуманных сценариев.

> Это безусловно опасно, но решается никак не на уровне неэкспортируемых сертификатов, а смарткартами и прочими средствами повышения безопасности.

я хотел бы посмотреть, как вы на смарт-карте будете хранить сертификаты Exchange.

> решается никак не на уровне неэкспортируемых сертификатов

но это одна из мер, которая снижает риск компрометации ключей.

> Имея админские права, неэкспортируемый сертификат замечательно достается из любого хранидища компьютера, нужна лишь специальная программа

а как вам вариант, что если ключ экспортируемый, тогда даже админских прав и специальной программы не надо для выноса ключей? Простого пользователя и немного соображалки хватит вполне.