Rinnovo Certificati SBS con CA locale

Questa è la procedura per rinnovare il certificato su Small Business Server 2008 e 2011, quindi Exchange 2007 e Exchange 2010.

Da Shell Exchange:

New-ExchangeCertificate -generaterequest -subjectname “cn=FQDN esterno dell’SBS (di solito remote.dominio.esterno o exchange.dominio.esterno”) -domainname FQDN esterno dell’SBS,hostname dell’SBS,FQDN locale,Hostname esterno,autodiscover.dominio.esterno,autodiscover.dominio.locale,localhost -path c:\certrequest.req

Da CMD:

Certreq.exe –submit –attrib “CertificateTemplate:webserver” c:\certrequest.req c:\Exchange.cer

Da Shell Exchange:

Import-ExchangeCertificate c:\Exchange.cer

Ora aprite la Console SBS, tra le varie voci c’è “Installa un certificato attendibile”, cliccatela, dite che il certificato lo avete già e nell’elenco dei certificati disponibili sul server selezionate quello appena creato (di solito quello con la data di scadenza più lontana).

Per SBS 2011 e quindi Exchange 2010 nella console di Exchange selezionando il server SBS c’è un comando a destra per la generazione del certificato che permette di saltare i comandi nella shell di Exchange. Selezionando le voci richieste (autodiscover, OWA, ActiveSync) fate la generazione del CSR. Consiglio di impostare come nome primario nel certificato l’FQDN esterno per evitare problemi con i client XP.
A questo punto potete eseguire il CertReq come sopra e poi sempre dallo stesso comando nella Exchange Console importare il certificato. Non attivatelo su nessun servizio al momento, ma utilizzate la voce “Aggiungi Certificato Attendibile” nella console di SBS come per il 2008.

NOTA: su SBS 2011 la richiesta di certificato generata tramite la console di gestione di Exchange è in Unicode ma certreq è in grado di gestire solo file ANSI e quindi se gli date in pasto il file direttamente darà errore. Per risolvere basta aprire la richiesta in Notepad, salvarlo con nome e indicare “ANSI” come encoding.

ATTENZIONE: E’ fondamentale che il nome completo esterno sia presente anche nei Subject Alternative Names del certificato altrimenti Outlook e Internet Explorer lo riterranno non valido anche se il CN è corretto.

 

Condividi