Продление сертификата Exchange 2013
У нас есть два сервера Exchange 2013 в отказоустойчивом кластере и DAG. Оба сервера являются почтовыми ящиками и CAS. Серверы используют разные сертификаты для 4 служб (IMAP, POP, IIS, SMTP). Сервер1 является основным.
Теперь оба сервера, срок действия этого сертификата скоро истечет. Я продлил сертификат для Server2, завершил его на экране сертификата Exchange, и новый сертификат был установлен.
Но я вижу только IMAP и POP в новом сертификате-> сервисах. В старом сертификате все еще показаны все четыре услуги. Должен ли я просто выбрать две другие службы в новом сертификате, а что снимет со старого? Что делать, если и в старых, и в новых есть все 4 службы - могу ли я просто удалить старый сертификат? Я не могу отменить выбор какой-либо из 4 служб в старом сертификате, поля неактивны.
Мой второй вопрос: должен ли я сделать то же самое на моем основном сервере Server1 (обновление сертификата и перемещение служб и удаление старого позже)?
Большое спасибо за ваш совет.
Ответ немного зависит от вашей конструкции и того, как вы настроили среду MS Exchange (например, какие DNS-имена вы используете).
Например, если вы используете циклический перебор для порта SMTP, чтобы иметь вид аварийного переключения, вы должны использовать один и тот же сертификат SSL на обоих серверах. Это означает, что вам нужно экспортировать сертификат SSL на 02 (с открытым ключом) и установить тот же сертификат ssl на сервере 01.
Это, например, очень важно, если вы используете mailin.contoso.com как внешнюю запись MX, которая затем указывается на два сервера MS Exchange. Вы не получите два ssl-сертификата с одинаковым именем mailin.contoso.com, вы получите только один ...
Я бы также не использовал графический интерфейс. Я бы использовал powershell:
Enable-ExchangeCertificate -Сервер 'exch02' -Сервисы 'IMAP, POP, IIS, SMTP '-Thumbprint' EDF57B5F9D81F1EC329BFB77ADD4465B426A40FB '
После этого вы можете перезапустить IIS через:
iisreset / noforce
Дополнительно: Я бы не стал удалять старый сертификат, использовать MMC, делать экспорт (с открытым ключом) и хранить его где-нибудь. Затем вы можете повторно импортировать его и изменить конфигурацию, чтобы она соответствовала старой. Если вы жестко удалите его, не имея резервной копии, пути назад не будет.