Сертификат Let’s Encrypt на Exchange Server 2010/2013/2016

Скачиваем win-acme (на момент написания версия v1.9.12.1, в ней содержится баг, решение ниже)

Эта программа будет заниматься выпуском сертификата, его установкой и обновлением.

Открываем к серверу Exchange доступ по 80 и 443 портам. И не забываем создать А записи на DNS, которые будут ссылаться на наш Exchange.

Распаковываем содержимое скачанного архива, например, в папку LetsEncrypt.

Теперь нужно сделать изменения, так как скрипт не корректно работает, подробнее тут.

Изменяем файл C:\letsencrypt\scripts\ImportExchange.ps1 строчку 94

Было

FileName = (Join-Path -Path $StorePath -ChildPath «$TargetHost.pfx»)

Стало:

FileName = $StorePath

Изменяем файл C:\letsencrypt\scripts\PSScript.bat на следующее значение:

Замените на:

powershell.exe -ExecutionPolicy Bypass -File ./Scripts/ImportExchange.ps1 %2 IIS,SMTP,IMAP,POP 1 %1 %3

Открываем командную строку с правами администратора, переходим в папку “LetsEncrypt” и выполняем скрипт указанный ниже (только замените выделенные жирным фрагменты на свои)

letsencrypt.exe --plugin manual --manualhost mail.domain.com,autodiscover.domain.com --validation selfhosting --installation iis,manual --installationsiteid 1 --script "./Scripts/PSScript.bat" --scriptparameters "{0} {5} C:\ProgramData\win-acme\httpsacme-v01.api.letsencrypt.org\mail.domain.com-all.pfx"

Для теста запустите:

letsencrypt.exe --test --plugin manual --manualhost mail.domain.com,autodiscover.domain.com --validation selfhosting --installation iis,manual --installationsiteid 1 --script "./Scripts/PSScript.bat" --scriptparameters "{0} {5} C:\ProgramData\win-acme\httpsacme-v01.api.letsencrypt.org\mail.domain.com-all.pfx"

В результате теста, если у вас что-то неправильно, то win-acme не заблокирует Вас после 5 неудачных попыток.

В итоге мы получим SAN сертификат для 3-х доменных имен (mail.domain.com,exch.domain.com,autodiscover.domain.com), который будет автоматически установлен в Exchange для служб IIS,SMTP,IMAP. Сам сертификат будет размещен в папке C:\Central_SSL\, а в планировщике заданий будет создан скрипт, который ежедневно будет проверять, не нужно ли перевыпустить сертификат. Подтверждение ваших доменов происходит в автоматическом режиме, путем создания временного сайта в IIS.

За основу взяты статьи:

https://medium.com/@gofys_/ssl-сертификат-на-exchange-server-2010-2013-2016-бесплатно-без-смс-и-регистрации-37551ef8cbba

https://mangolassi.it/topic/18260/exchange-2016-let-s-encrypt-setup

Let’s Encrypt для Exchange и Postfix

(Всего просмотров: 17 782, просмотров сегодня: 9)