StartSSL: SSL/TLS certifikát nejen pro Exchange Server zdarma

Provozujete poštovní server Exchange Server a rádi byste využili možnost
šifrované komunikace (které je u Exchange takřka nutností)? Stačí Vám
základní ověření identity emailem a hlavně ať je to zadarmo? Potřebujete
aby vydané certifikáty rozeznávaly operační systémy Windows? Tohle vše
splňují certifikáty vydávané zdarma certifikační autoritou StartCom
CA. 

StartCom vydává na základě ověření emailu certifikáty úrovně Class
1. Kromě klasických certifikátů pro podepisování emailů si můžete
nechat vystavit také certifikát pro libovolnou doménu. Pokud máte zájem jen
o certifikát pro doménu je stejně třeba absolnovat první krok, tzn.
provést registraci, vyplnit základní osobní údaje a platný email a
následně jej potvrdit ověřovacím kódem zaslavný na zmíněný email.
Teprve poté můžete přistoupit k dalšímu kroku, kterým ověříte doménu
v průvodci ověřením (Validation Wizard). Zde ověříte, že jste
vlastníkem domény druhé úrovně na základě odeslání potvrzovací kód na
některý z kontaktních emailů, které jsou ve WHOIS záznamu u vaší
domény.

Jak žádat o certifikát pro doménu 3. úrovně s EXchange
Serverem

Po tomto ověření si můžete požádat o certifikát pro vaši doménu
či subdoménu (pozor pokud požádáte o certifikát k doméně druhé
úrovně, nejde žádat následně o certifikáty pro subdomény – nemám
ale ověřeno). Zde znovu potvrdíte o jakou doménu se jedná a pak potvrdíte
zda chcete pro doménu druhé úrovně (michalzobec.cz) nebo třetí úrovně
(mail.michalzo­bec.cz). V mém případě jsem žádal o doménu třetí
úrovně ke které je přiřazen můj server s běžícím poštovním serverem
Exchange Server 2007.

Doporučuji vám provést žádost o certifikát vygenerováním žádosti
přímo na vašem serveru v Internet Information Server (IIS), jen je třeba
nastavit šifrování na 2048bitů (pokud budete synchronizovat Exchange
s mobilními zařízeními tak nenastavujte silnější šifrování) a jako
běžný název uvést doménu ke které je přiřazen server s Exchange.

Poté na webu StartCom v Průvodci certifikáty (Certificate Wizard) vyberte
Web Server SSL/TLS Certificate, vynechte generování osobního klíče
(generovali jste žádostí v IIS na svém serveru) tlačítkem Skip, vložte
vlastní vygenerovanou žádost z IIS a v dalším kroce potvrďte doménu a
pak vygenerovaný certifikát uložte do souboru a importujte zpět do IIS.

Po importu do IIS je třeba smazat původní nepotřebný certifikát a
přiřadit nově importovaný k Outlook Web Access.

Přiřazení certifikátu k Outlook Web Access ve Windows Small Business
Server 2008/2011

Po importu do IIS je třeba smazat původní nepotřebný certifikát a
přiřadit nově importovaný v průvodci v konzoli pro správce Windows Small
Business Server.

Nový certifikát nastavíte v Windows SBS Console – Síť –
Připojení – Certifikát webového serveru
.

Co mám dělat pokud již mám vygenerované soubory ve formátu pro Apache
(soubory ssl.key, ssl.crt)?

Můžete si vygenerovat pro IIS ve formátu PFX
ToolBox – Create PKCS#12 (PFX) File.

Můj telefon nezná certifikační autoritu StartCom Root CA

Pro telefony se systémy Windows Mobile 6 a starší potřebujete
certifikát Root CA ve formátu DER. Získáte jej
ToolBox – StartCom CA Certificates –
StartCom Root CA (DER encoded)

Outlook Web Access nefunguje – vrací chybu
101 ERR_CONNEC­TION_RESET

Chyba 101 (net::ERR_CON­NECTION_RESET): Připojení bylo resetováno. Se
zobrazuje z důvodu nepřiřazeného certifikátu k Exchange. V případě
Windows Small Business Server je postup pro přiřazení v části přiřazení
certifikátu k Outlook Web Access.

Odkazy

michal zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting