У нас есть два сервера Exchange 2013 в отказоустойчивом кластере и DAG. Оба сервера являются почтовыми ящиками и CAS. Серверы используют разные сертификаты для 4 служб (IMAP, POP, IIS, SMTP). Server1 является основным.
Теперь оба сервера, этот сертификат скоро истечет. Я продлил сертификат для Server2, завершил его на экране сертификата Exchange, и новый сертификат был установлен.
Но я вижу только IMAP и POP в новых службах сертификата->. Старый сертификат по-прежнему показывает все четыре услуги. Должен ли я просто выбрать две другие службы в новом сертификате, и это изменит его по сравнению со старым? Что делать, если и в старых, и в новых есть все 4 службы - могу ли я просто удалить старый сертификат? Я не могу отменить выбор какой-либо из 4 служб в старом сертификате, поля выделены серым цветом.
Мой второй вопрос: должен ли я сделать то же самое на моем основном сервере Server1 (обновление сертификата и перемещение служб и удаление старого позже)?
Очень признателен за ваш совет.
Ответ немного зависит от вашей конструкции и того, как вы настроили среду MS Exchange (например, какие DNS-имена вы используете).
Например, если вы используете циклический перебор для порта SMTP для переключения при отказе, вы должны использовать один и тот же сертификат SSL на обоих серверах. Это означает, что вам нужно экспортировать сертификат SSL на 02 (с открытым ключом) и установить тот же сертификат ssl на сервере 01.
Это, например, очень важно, если вы используете mailin.contoso.com в качестве внешней MX-записи, которая затем указывает на два сервера MS Exchange. Вы не получите два ssl-сертификата с одинаковым именем mailin.contoso.com, вы получите только один ...
Я бы также не использовал графический интерфейс, я бы использовал powershell:
Enable-ExchangeCertificate -Server 'exch02' -Services 'IMAP, POP, IIS, SMTP' -Thumbprint 'EDF57B5F9D81F1EC329BFB77ADD4465B426A40FB'
После этого вы можете перезапустить IIS через:
iisreset / noforce
Дополнительно: я бы не стал удалять старый сертификат, использовать MMC, экспортировать (с открытым ключом) и хранить его где-нибудь. Затем вы можете повторно импортировать его и изменить конфигурацию, чтобы она соответствовала старой. Если вы жестко удалите его, не имея резервной копии, пути назад не будет.