Image may be NSFW.
Clik here to view.V dnešním článku popíšu, jak získat zdarma podepsaný certifikát (Class 1) pro doménu sabrnak.cz a subdoménu mail.sabrnak.cz. Je důležité předem znát, jak budeme externě přistupovat na náš Exchange webmail a další služby, protože máme možnost zdarma podepsat pouze 1 doménu a 1 subdoménu, kterou později nelze měnit. Ke konci článku nastavíme externí přístup virtuálních adresářů na doménu mail.sabrnak.cz a spustíme test funkčnosti služeb.

Část 1 – Generování SSL Class 1 certifikátu

• Otevřeme web https://www.startssl.com/ a klikneme na Sign-up, kde následně vyplníme své osobní údaje a podstoupíme další potřebné kroky k úspěšné registraci. Doufám, že registraci zvládnete sami.

Image may be NSFW.
Clik here to view.

• Posledním krokem registrace bude za potřebí vložit kód, který nám byl zaslán na registrační e-mail.
• Po ověření kódu budeme vyzváni k instalaci certifikátu, přes který se budeme připojovat do našeho StartSSL účtu. Klikneme tedy na tlačítko Install a pak na Finish.
• Nyní bychom měli být v Control Panelu. Viz. obrázek.

Image may be NSFW.
Clik here to view.

• Hned ze začátku si zazálohujte svůj certifikát. Pokud ho ztratíte, budete mít velké problémy, nedostanete se na svůj účet. Certifikát najdete ve svém internetovém prohlížeči. V Internet Exploreru 10 certifikát vyexportujeme v Nástrojích > Možnosti Internetu > Obsah > Certifikáty > Váš StartSSL certifikát > Exportovat.

Image may be NSFW.
Clik here to view.

• Nyní se přesuneme do Validation Wizard, kde bude za potřebí ověřit zda jsme skutečným majitelem domény. Zvolíme Domain Name Validation.

Image may be NSFW.
Clik here to view.

• Zadáme doménu, pro kterou budeme později generovat certifikát.

Image may be NSFW.
Clik here to view.

• Teď nastane možná menší zádrhel. Ověřovací kód domény, který nám za chvíli přijde mailem, můžeme zaslat pouze na 5 předdefinovaných adres. Pokud nemáte tedy založenou e-mailovou schránku z následujícího seznamu, založte si ji. Přijde na ní ověřovací kód, že jsme vlastníci domény.

Image may be NSFW.
Clik here to view.

• Do prázdného pole vložíme ověřovací kód, získaný z vybrané e-mailové schránky.

Image may be NSFW.
Clik here to view.

• Klikneme na Finish.

Image may be NSFW.
Clik here to view.

• Ověřili jsme, že jsme vlastníci domény. Můžeme se vrhnout na vytváření certifikátu pro web. Klikneme na Certificates Wizard a jako výstupní cíl vybereme Web Server SSL/TLS Certificate.

Image may be NSFW.
Clik here to view.

• Zvolíme heslo, sílu šifrování a hash algoritmus pro náš privátní klíč a klikneme na Continue. Heslo si zapamatujte. Pokud ho ztratíte, jako já kdysi, bude vás revokace certifikátu stát 500 Kč. (Pokud máte vygenerovaný CSR požadavek na klíč přímo z Exchange serveru, přeskočte tento krok.)

Image may be NSFW.
Clik here to view.

• Potvrdíme zprávu, která nám vyskočila tlačítkem OK. Informuje to, co jsem zmínil výše s CSR Exchange požadavkem.

Image may be NSFW.
Clik here to view.

•  Vygenerovaný privátní klíč uložíme do klasického poznámkového bloku, který později použijeme. Pojmenujeme ho např. private.txt a klikneme na Continue.

Image may be NSFW.
Clik here to view.

• Systém nás vyzve pro přidání sub domény, pro kterou bude také platit certifikát. V mém případě mail.sabrnak.cz, na kterém je hostovaný Exchange OWA.

Image may be NSFW.
Clik here to view.

• Potvrdíme vygenerování veřejného certifikátu pro námi vybranou doménu a sub doménu.

Image may be NSFW.
Clik here to view.

• Zkopírujeme vygenerovaný veřejný klíč opět do poznámkového bloku, který nazveme public.txt. (Pokud se vám nezobrazí vygenerovaný veřejný klíč, získáte ho v Tool Boxu > Retreive Certificate)

Image may be NSFW.
Clik here to view.

• V horním menu klikneme na Tool Box a následně na Create PKCS#12 (PFX) File, kde spojíme v horním boxu privátní klíč (private.txt) a do spodního veřejný klíč (public.txt). Vložte tedy obsah těchto dvou souborů do boxů a heslo, které jsme zadali, když jsme generovali privátní klíč.

Image may be NSFW.
Clik here to view.

• Klikneme na tlačítko Get PFX a soubor uložíme na disk.

Image may be NSFW.
Clik here to view.

Část 2 – Nasazení certifikátu na Exchange 2013

•  Otevřeme Správce Internetové informační služby (IIS Manager). Klikneme na název našeho serveru a v pravo 2x klikneme na Certifikáty serveru.

Image may be NSFW.
Clik here to view.

• Uvidíme seznam všech vygenerovaných certifikátů. Vpravo klikneme na Importovat

Image may be NSFW.
Clik here to view.

• Otevře se okno, ve kterém zvolíme náš vygenerovaný .p12 certifikát, klikneme na tři tečky “…“.

Image may be NSFW.
Clik here to view.

• V dialogu najdeme a otevřeme vygenerovaný .p12 certifikát, který jsme dříve uložili na disk. Bude za potřebí zobrazit všechny přípony, protože IIS Manager nám nabízí pouze .pfx soubory.

Image may be NSFW.
Clik here to view.

• Vložíme heslo certifikátu, rozhodneme se zda chceme mít klíč exportovatelný a klikneme na OK.

Image may be NSFW.
Clik here to view.

• Importovaný certifikát bychom měli vidět v seznamu.

Image may be NSFW.
Clik here to view.

• Otevřeme EMS (Exchange Managment Shell) a zobrazíme si aktuálně nainstalované certifikáty s jejich hodnotou hash certifikátu a na jaké služby je používán.

get-exchangecertificate | fl thumbprint, issuer, services

• Hodnota hash certifikátu je tzv. identifikátor, na jehož základě budeme povolovat určité služby. Hash certifikátu je ukázán na obrázku v červeném rámečku. Z bezpečnostních důvodů jsem jej a ostatní rozmazal.

Image may be NSFW.
Clik here to view.

• Jakmile známe hash našeho nového certifikátu, vložíme ho do následujícího příkazu místo XXXXXX a spustíme příkaz.

enable-exchangecertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXXX -Services IIS,SMTP,POP,IMAP

• Nyní jsme aktivovali náš nově vygenerovaný certifikát pro služby IIS, SMTP, POP a IMAP. Doporučuji smazat ostatní nepoužívané certifikáty, které si Exchange v defaultu vytvořil. To provedete IIS Manageru v Certifikátech serveru. Nesmažte si WMSVC certifikát, jinak budete mít problémy!

Část 3 – Nastavení externího přístupu pro podepsanou doménu

• Pokud si dobře pamatujete, podepisoval jsem doménu sabrnak.cz a mail.sabrnak.cz. Ukážu postup, jak rychle nastavit Exchange a jeho virtuální adresáře pro externí přístup několika kliky v ECP pro podepsanou doménu mail.sabrnak.cz. Jděte tedy do ECP (Exchange Control Panel) a v levém menu zvolte Servery a v horní nabídce Virtuální adresáře a klikněte na ikonu hasáku.

Image may be NSFW.
Clik here to view.

• Vybereme server klientského přístupu kliknutím na tlačítko plus “+“, zvolíme požadovaný Exchange server a klikneme na OK. Zadáme název domény, který budete používat s externími servery klientského přístupu = mail.sabrnak.cz. Viz. obrázek.

Image may be NSFW.
Clik here to view.

• Počkáme chvíli, než se server nakonfiguruje.
• Vrátíme se ještě do EMS (Exchange Managment Shell) a spustíme příkaz pro nastavení interní Autodiscover URL. Místo identity SABRNAKCZ napište hostname vašeho serveru, např. SRV01 a změňte si adresu URL místo mail.sabrnak.cz na vaši.
• Po této operaci doporučuji restartovat všechny služby Exchange a IIS, nebo rovnou celý server.

set-clientaccessserver -identity SabrnakCZ -AutoDiscoverServiceInternalUri https://mail.sabrnak.cz/Autodiscover/Autodiscover.xml

• Nakonec spusťte v EMS příkaz Test-OutlookWebServices, zda všechny služby pracují správně a ukazují správně doménu pro externí přístup.

Image may be NSFW.
Clik here to view.

Rekapitulace

Zaregistrovali jsme se na server StartSSL.com a vyexportovali jsme si certifikát z prohlížeče, pro případnou budoucí konfiguraci a přístup do administrace. Vytvořili jsme zdarma certifikát, který jsme aplikovali na služby serveru a ostatní nepoužité jsme smazali. Nastavili jsme Exchange doménu pro externí přístup mail.sabrnak.cz, která souhlasí s vygenerovaným certifikátem. Vše jsme dovršili testovacím příkazem Test-OutlookWebServices.