Сертификат SSL (relay + exchange)

Есть такая замечательная контора, как StartSSL, а замечательна она тем, что по разумной цене предоставляет сертификаты. На хабре хорошо про них написано, с подробной инструкцией. В этой статье я хотел бы описать, как и куда подсунуть полученный сертификат.

Имеем такую схему: ИНТЕРНЕТ <-> RELAY (postfix) <-> Exchange 2010

Начнем с генерации приватного ключа. Для этого на relay введем команду
openssl genrsa -out private.key 2048
хочу заметить что не надо использовать ключ -des3, т.е. шифрование.

Далее создадим файл запросов CSR, для этого введем следующую команду
openssl req -new -key private.key -out server.csr

В последних пунктах пароль вводить не нужно!

Итого мы имеем два файла private.key и server.csr. Открываем файл запросов CSR блокнотом и копируем все оттуда, далее идем на https://www.startssl.com/ и создаем сертификат для web сервера.

На следующем шаге нажимаем Skip. Далее вставляем текст из нашего файла CSR и нажимаем Continue.

Далее ничего сложного нет, поэтому подробно останавливаться не буду, пару раз нажать на продолжить и вписать поддомен для которого генерируется сертификат. В итоге мы получаем текст похожий на тот, что мы скопировали из файла CSR, копируем его целиком. На компьютере создаем блокнотовский файлик и в него вставляем весь скопированный текст, даем расширение этому файлу .crt, ну и называем допустим cert. В итоге файл cert.crt и есть наш сертификат, который нужно установить на exchange и relay.

Что бы установить полученный сертификат на exchange, его надо предварительно переконвертировать в .pfx, для этого есть замечательный online сервис https://www.sslshopper.com/ssl-converter.html.

В первую строчку добавляем наш файл cert.crt, во вторую private.key и нажимаем конвертировать. На выходе получаем файлик с расширением .pfx. Его надо установить на сервере Exchange, через оснастку IIS.

И дальше уже через оснастку exchange его активировать, присвоить ему нужные службы

На этом с сервером Exchange все, работу сертификата можно проверить через owa.

На relay все еще проще, в параметрах postfix нужно указать использование сертификатов и прописать к ним путь. Для этого в файле main.cf прописываем следующее:

Где, в первой строчке файлик private.key, во второй полученный сертификат cert.crt, а в третьей корневой сертификат ca.crt (его можно скачать на сайте https://www.startssl.com/). Можно заметить, что в моей конфиге все эти файлы имеют расширение .pem, postfix будет работать и с теми, что есть у вас, но для удобства, используя конвертер на  https://www.sslshopper.com/ssl-converter.html, я собрал три этих файла в один с расширением .pem.

На этом наверное и все=)

Добавить комментарий

Ваш адрес email не будет опубликован.