Rinnovo Certificati SBS con CA locale

Questa è la procedura per rinnovare il certificato su Small Business Server 2008 e 2011, quindi Exchange 2007 e Exchange 2010. Da Shell Exchange: New-ExchangeCertificate -generaterequest -subjectname “cn=FQDN esterno dell’SBS (di solito remote.dominio.esterno o exchange.dominio.esterno”) -domainname FQDN esterno dell’SBS,hostname dell’SBS,FQDN locale,Hostname esterno,autodiscover.dominio.esterno,autodiscover.dominio.locale,localhost -path c:\certrequest.req Da CMD: Certreq.exe –submit –attrib “CertificateTemplate:webserver” c:\certrequest.req c:\Exchange.cer Da Shell Exchange: Import-ExchangeCertificate c:\Exchange.cer Ora aprite la Console SBS, tra le varie voci c’è “Installa un certificato attendibile”, cliccatela, dite che il certificato lo avete già e nell’elenco dei certificati disponibili sul server selezionate quello appena creato (di solito quello con la data di scadenza più lontana). Per SBS 2011 e quindi Exchange 2010 nella console di Exchange selezionando il server SBS c’è un comando a destra per la generazione del certificato che permette di saltare i comandi nella shell di Exchange. Selezionando le voci richieste (autodiscover, OWA, ActiveSync) fate la generazione del CSR. Consiglio di impostare... Leggi tutto →

Auto Enrollment dei Certificati

Scenario: Dominio Active Directory, Domain controller multipli e Certification Authority già installata sul primo domain controller. In questa configurazione può succedere che i DC secondari non riescano a rinnovare il certificato per il ruolo di Domain Controller, causando quindi problemi all’accesso SSL ad Active Directory specialmente da parte di applicazioni di terze parti (ad esempio il Single Sign On di VMWare). Nel log possiamo trovare questi errori subito dopo il logon: Onde evitare questo problema bisogna attiva l’Auto Enrollment dei certificati nel dominio. Sulla CA: Verificare che il gruppo Certificate Service DCOM Access abbia i corretti permessi sul DCOM. In Component Services nelle proprietà di My Computer, verrificare che nel tab COM Security sotto Access Permission – Edit Limits il gruppo sia presente ed abbia entrambi gli accessi abilitati. In Component Services nelle proprietà di My Computer, verrificare che nel tab COM Security sotto Launch and Activation Permissions – Edit Limits il gruppo sia... Leggi tutto →