Назад | Перейти на главную страницу

Использование корпоративного ЦС, интегрированного в AD, для выдачи сертификата Exchange 2010

У меня есть небольшая тестовая сеть, в которую входят машины Win2k8 R2, сервер Enterprise CA и сервер Exchange 2010 SP1 RU1 CAS. Я хочу выдать сертификат для Exchange из ЦС.

В качестве первого шага я создал запрос сертификата, который (согласно OpenSSL) содержит следующую информацию:

C:\OpenSSL\bin>openssl req -in e.req -noout -text
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: CN=mail.mnet.com, OU=IT, O=MNet, L=Budapest, ST=Budapest, C=HU
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                ...snip...
                Exponent: 65537 (0x10001)
        Attributes:
            1.3.6.1.4.1.311.13.2.3   :6.1.7600.2
            1.3.6.1.4.1.311.21.20    :unable to print attribute
            1.3.6.1.4.1.311.13.2.2   :unable to print attribute
        Requested Extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Subject Alternative Name:
                DNS:cas.int.mnet.com, DNS:mail.mnet.com, DNS:autodiscover.mnet.com, DNS:pop.int.mnet.com, DNS:imap.int.mnet.com
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier:
                F0:7E:53:47:BE:04:0F:5C:78:FD:63:8C:D6:5C:BC:0D:45:A3:4F:48
    Signature Algorithm: sha1WithRSAEncryption
        ...snip...

В качестве второго шага я хотел бы отправить этот запрос в ЦС, но получаю следующее сообщение:

The request contains no certificate information.

Denied by Policy Module 0x80094801, The request does not contain a certificate template extension of the CertificateTemplate request attribute.

Каким будет лучший способ заставить это работать?

Как мне сгенерировать тот же запрос из Exchange, чтобы включить информацию о том, какой сертификат использовать?

Как мне убедить ЦС выдать сертификат, даже если запрос не соответствует шаблону сертификата?

(Меня действительно интересуют ответы на все три вопроса, чтобы узнать больше как об Exchange, так и об услугах CA).

пожалуйста воспользуйтесь мастером, который Exchange 2010 так услужливо предоставляет вам - это намного проще.

Он находится в консоли управления Exchange под Конфигурация сервера. На панели действий выберите Новый сертификат обмена волшебник.

Заполните необходимую информацию, отправьте созданный файл в свой Enterprise CA, используя Веб сервер шаблон, а затем импортируйте сгенерированный сертификат обратно в Exchange с помощью мастера.

Вы можете найти это видео полезно.