StartSSL: SSL/TLS certifikát nejen pro Exchange Server zdarma

Provozujete poštovní server Exchange Server a rádi byste využili možnost šifrované komunikace (které je u Exchange takřka nutností)? Stačí Vám základní ověření identity emailem a hlavně ať je to zadarmo? Potřebujete aby vydané certifikáty rozeznávaly operační systémy Windows? Tohle vše splňují certifikáty vydávané zdarma certifikační autoritou StartCom CA. 

StartCom vydává na základě ověření emailu certifikáty úrovně Class 1. Kromě klasických certifikátů pro podepisování emailů si můžete nechat vystavit také certifikát pro libovolnou doménu. Pokud máte zájem jen o certifikát pro doménu je stejně třeba absolnovat první krok, tzn. provést registraci, vyplnit základní osobní údaje a platný email a následně jej potvrdit ověřovacím kódem zaslavný na zmíněný email. Teprve poté můžete přistoupit k dalšímu kroku, kterým ověříte doménu v průvodci ověřením (Validation Wizard). Zde ověříte, že jste vlastníkem domény druhé úrovně na základě odeslání potvrzovací kód na některý z kontaktních emailů, které jsou ve WHOIS záznamu u vaší domény.

Jak žádat o certifikát pro doménu 3. úrovně s EXchange Serverem

Po tomto ověření si můžete požádat o certifikát pro vaši doménu či subdoménu (pozor pokud požádáte o certifikát k doméně druhé úrovně, nejde žádat následně o certifikáty pro subdomény – nemám ale ověřeno). Zde znovu potvrdíte o jakou doménu se jedná a pak potvrdíte zda chcete pro doménu druhé úrovně (michalzobec.cz) nebo třetí úrovně (mail.michalzo­bec.cz). V mém případě jsem žádal o doménu třetí úrovně ke které je přiřazen můj server s běžícím poštovním serverem Exchange Server 2007.

Doporučuji vám provést žádost o certifikát vygenerováním žádosti přímo na vašem serveru v Internet Information Server (IIS), jen je třeba nastavit šifrování na 2048bitů (pokud budete synchronizovat Exchange s mobilními zařízeními tak nenastavujte silnější šifrování) a jako běžný název uvést doménu ke které je přiřazen server s Exchange.

Poté na webu StartCom v Průvodci certifikáty (Certificate Wizard) vyberte Web Server SSL/TLS Certificate, vynechte generování osobního klíče (generovali jste žádostí v IIS na svém serveru) tlačítkem Skip, vložte vlastní vygenerovanou žádost z IIS a v dalším kroce potvrďte doménu a pak vygenerovaný certifikát uložte do souboru a importujte zpět do IIS.

Po importu do IIS je třeba smazat původní nepotřebný certifikát a přiřadit nově importovaný k Outlook Web Access.

Přiřazení certifikátu k Outlook Web Access ve Windows Small Business Server 2008/2011

Po importu do IIS je třeba smazat původní nepotřebný certifikát a přiřadit nově importovaný v průvodci v konzoli pro správce Windows Small Business Server.

Nový certifikát nastavíte v Windows SBS Console – Síť – Připojení – Certifikát webového serveru.

Co mám dělat pokud již mám vygenerované soubory ve formátu pro Apache (soubory ssl.key, ssl.crt)?

Můžete si vygenerovat pro IIS ve formátu PFX v ToolBox – Create PKCS#12 (PFX) File.

Můj telefon nezná certifikační autoritu StartCom Root CA

Pro telefony se systémy Windows Mobile 6 a starší potřebujete certifikát Root CA ve formátu DER. Získáte jej v ToolBox – StartCom CA Certificates – StartCom Root CA (DER encoded)

Outlook Web Access nefunguje – vrací chybu 101 ERR_CONNEC­TION_RESET

Chyba 101 (net::ERR_CON­NECTION_RESET): Připojení bylo resetováno. Se zobrazuje z důvodu nepřiřazeného certifikátu k Exchange. V případě Windows Small Business Server je postup pro přiřazení v části přiřazení certifikátu k Outlook Web Access.

Odkazy

0 Responses to “StartSSL: SSL/TLS certifikát nejen pro Exchange Server zdarma”


  • No Comments

Leave a Reply