SBSUG - The Israeli SBS UG האתר הישראלי לקבוצת  דף בית
דף בית פורומים דף בית פורומים > מאמרים והדרכות לשימושכם > מיקרוסופט שרתים ותחנות
  הודעות חדשות הודעות חדשות RSS Feed: התקנת תעודת SAN  פנימית על שרת SBS 2011
  FAQ FAQ  חיפוש בפורום   לוח שנה   הרשמה הרשמה  התחברות התחברות

התקנת תעודת SAN פנימית על שרת SBS 2011

 שליחת תגובה שליחת תגובה
כותב
הודעה / צפה בהודעה שלא נקראה
doom צפה בגלילה למטה
מנהל פורומים
מנהל פורומים


הצטרף / הצטרפה: 27 ינואר 2010
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 187
אפשרויות הודעה אפשרויות הודעה   ציטוט doom ציטוט  שליחת תגובההגב קישור ישיר להודעה זו נושא: התקנת תעודת SAN פנימית על שרת SBS 2011
    פורסם: 18 אפריל 2011 בשעה 14:10
 התקנת תעודת SAN  פנימית על שרת SBS 2011
במאמר זה נסביר איך להכין ולהתקין תעודת SAN  (subject alternative name) על שרת SBS 2011.
מכיוון שהתהליך קצת השתנה מ2008.
 
קודם כל המלצה.
לדעתי כדאי לעבוד עם תעודה קנויה ולחסוך צרות כאלה.
הממשק של SBS  יודע להתקין תעודות קנויות מבלי להסתבך עם כל הרכיבים הפנימים של השרת.
ניתן גם לרכוש תעודה רגילה ללא SAN וליצור SRV לשירות האוטודיסקובר על שרת הDNS ( גודדי תומכים בזה למשל) ואז לא צריך לשחק יותר מידי עם השרת.
 
אבל בכל זאת זו השיטה לכל מי שיש לו לקוח בעייתי שמתעקש :)
 
קודם כל SBS 2011  מתקין לנו כמו בקודמו CA ( certificate authority ) בזמן התקנת השרת אבל הוא לא מתקין את שירות הWEB ENROLLMENT .
ניגש לSERVER MANAGEMENT
ROLES
נימצא את Active directory certificate services
נלחץ ADD SERVICE ROLES
ונסמן בV את את certification authority web enrollment


 
עכשיו הWEB ENROLMENT  קיים וניתן להגיע אליו דרך http://IP-SERVER/CERTSRV
(אם נשתמש בכתובת REMOTE זה לא יגיע מכיוון שSBS מכוון לעבוד עם כמה אתרים שונים על אותו שרת )
 
עכשיו אנחנו צריכים להכנס לממשק CA כדי לשנות את הרשאות על הtemplate  של הwebserver
כדי שנוכל להשתמש בה באתר ה web enrollment
administrative tools
certification authority
קליק ימני על certificate templates
manage
קליק ימני על web server
Properties
 
 
על הטאב של ה Security
ניתן ל AUTHENTICATED USERS
 ALLOW על ENROLL
ואפשר להוסיף גם DOMAIN USERS
ולתת להם READ ו ENROLL
 



יצירת בקשה לתעודה
קודם כל צריך לבנות את הבקשה לCERTIFICATE
יש כמה דרכים לעשות זאת נציג שתיים מהן
 
1.      להשתמש באתר CERTSRV שבנינו כדי ליצור בקשה ונצטרך למלא את כל הפרטים לבד.
2.      להשתמש בכלי חיצוני כמו האתר של DIGICERT  ששם ניתן לבנות בקשה לתעודה ואיתה להכניס או לCA פנימי או לחברת תעודות.
3.       דרך הממשק של exchange 2010  ניתן לבנות בקשות לתעודות ולהתקין אותן.
 
שיטה 2.
 
נגיע לכתובת
נמלא את כל הפרטים שלנו כולל הכתובות שאותם אנחנו רוצים
Common name – remote.server.com
תחת subject alternative name
נשים את כל שאר הכתובות



אזהרה:
מבדיקה שעשיתי מסתבר שלא מספיק שהקומון ניים הוא remote.server.local
זה נותן שגיאה כשמנסים להגיע לכתובת. כאילו שהכתובת לא נכונה
לאחר הסתכלות על התעודה הראשונה שSBS בונה
חייב להכניס את שם הדומיין לבד ! וגם את remote.server.com שוב תחת הSAN
 
נכניס תחת SAN לדוגמא את הכתובות הבאות
Sbstest.com
Remote.sbstest.com
Autodiscover. sbstest.com
Mail. sbstest.com
Testserver.server.local
 
את הפקודה שקיבלנו יש לשמור ואז נפתח את
Exchange management shell
ולשם נעתיק את הפקודה



נקבל קובץ במיקום שנרשם בסקריפט ( אם לא שיחקנו אז יהיה ברוט של C )
 
שיטה 3
 
דרך ממשק הExchange
ניפתח Exchange management console
 
נקליק קליק ימני או על השרת באיזור העליון או באיזור של התעודות למטה
נלחץ REQUEST NEW CERTIFICATE
יפתח WIZARD בו נמלא את הפרטים של התעודה
 
ניתן שם לתעודה
 


כאן ניתן לבנות תעודת Wildcard  שתכלול את כל השמות דומייןדומיינים
לא נסמן את זה
 
 

כאן בוחרים מה התעודה תחיל
בSBS רוב הדברים הוא מסמן אוטומטי וכבר שם את הכתובת של remote.server.com
 
 
 
 
 כאן נרשום את כל כתובות הSAN  שצריך
השורה שמסומנת היא הcommon name  וניתן לשנות כדיפולט הREMOTE  מסומן
 
 
במסך אחרי זה נמלא פרטי חברה ונתן מיקום לקובץ
 
 
ונסיים את הוויזרד
 
 
 
 
יצירת תעודה
 
לאחר שיש לנו קובץ בקשה
נפתח אותו ונראה שורות מקודדות
 
 
 
,נעשה קופי לכתב
 
וניגש אל האתר 
http://localhost (or-serverip)/certsrv
 
 
 
נלחץ
Request a certificate

advanced certificate request


Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file

טיפ :
בעמוד זה ניתן ליצור סרטיפקט ידנית בבחירה של הראשון
 
 
 
 
 
בעמוד זה לתוך המשבצת SAVE REQUEST
נעתיק את תוכן הקובץ שקיבלנו קודם
ומתחת ניבחר WEB SERVER  וNEXT
 
ואז נשמור את התעודה למקום בשרת


 
אם תפתחו את קובץ הCERT שעשינו תראו שהוא נבנה ללא PRIVATE KEY !!
ולא ניתן להתקין אותו ישר לשרת בצורה זו.

 
 
 
עכשיו ניגש אל הGUI  של exchange
Exchange management console
 
 
לא כמו ב2007, ב2010 ניתן לערוך ולהתקין תעודות דרך הממשק הגרפי של אקציינג' זאת לעומת 2007 שניתן היה רק בשורת פקודה לעשות זאת.
 
נגיע אל server configuration
וכאן רואים את כל התעודות שיש לנו בשרת שמתאימות לEXCHANGE
 
 
בחלק התחתון נימצא את התעודה שבנינו קודם
 
נביט בSTATUS ונראה שם תעודה אחת עם מצב
This is pending certificate service request
קליק ימני עליה ולבחור את
Complete pending request


 
ואז נצתרך בWIZARD שיפתח לכוון אותו אל הסרטיפיקט ששמרנו קודם.
נעשה browse  ונימצא את התעודה 


 
ו FINISH



 
במצב זה התעודה מוכנה להתקנה.
 
התקנת התעודה
 
גם כאן יש שתי אופציות
או שנשתמש בWIZARD  של SBS 
ADD TRUSTED CERTIFICATE נימצא את התעודה שהכנו ונלחץ NEXT
 
או שנעשה את התהליך ידנית
שניהם מביאים לאותה תוצאה.
 
בממשק Exchange  לאחר שסיימנו את התהליך של הסרטיפקט נעשה שוב קליק ימני על התעודה ואז יהיה לנו אופצייה ל
Assign services to this certificate

 
ניבחר את זה ובWIZARD שיפתח נצטרך לסמן על איזה שרת להתקין
 

 
ועל איזה שירותים התעודה תותקן

 
·         על התעודה המקורית שהSBS יוצר זה מותקן על pop ,imap smtp, iis
לכן נסמן זאת גם על התעודה הזאת. עקרונית הIIS זה הרכיב החשוב לנו !
 
אם ניבחר UM הוא פשוט יתן שגיאה שיש רכיב שזה לא מתאים לו .
 
נסמן וניתן לוויזרד לעבוד
אם הוא ישאל אותנו פעם או פעמיים אם למחוק את התעודה המקורית מIIS  ומSMTP  נגיד
YES TO ALL
 
וזהו התעודה מותקנת
 
בשביל לוודאות שהכל תקין ניתן להתחבר לIIS ולהסתכל תחת DEFAULT WEB SITE
תחת הBINDINGS  שפורט 443 משתמש בתעודה בשם MICROSOFT EXCHANGE
ואם נלחץ VIEW  נראה את התעודה שבנינו.

 
ניגש לכתובת
https://remote.server.com /owa
ונוודא שאין לנו שגיאה !



בהצלחה

נכתב על ידי ערן סבן
ערן סבן
בחזרה למעלה
hayim צפה בגלילה למטה
מנהל ראשי
מנהל ראשי
אווטאר

הצטרף / הצטרפה: 31 אוגוסט 2008
מדינה: Israel
מצב מחובר: לא מחובר
הודעות: 896
אפשרויות הודעה אפשרויות הודעה   ציטוט hayim ציטוט  שליחת תגובההגב קישור ישיר להודעה זו פורסם: 18 אפריל 2011 בשעה 14:48
מאמר מושקע ומפורט. יפה ותודה !
הכתוב לעיל הינו הסבר ו/או רעיון המבוססים על נסיוני. יתכן וטעיתי, ויש דרכים נוספות, לפני ישום, בידקו. הדרך הקצרה ליישום היא הדרך שמכירים.
ל...חיים כספי
אורנט תקשורת
בחזרה למעלה
 שליחת תגובה שליחת תגובה

קפיצה לפורום הרשאות פורום צפה בגלילה למטה

Web Wiz Heb - מערכת פורומים בעברית תמיכה ומאמרים
פורום קבוצת sbsug בשיתוף עם-חברת אורנט תקשורת

עמוד זה נוצר ב 1.016 שניות.
Bulletin Board Software by Web Wiz Forums® version 9.65
Copyright ©2001-2010 Web Wiz