Продляем сертификат Exchange. Установка сертификата на exchange и веб-сервер. Перевод из .pfx в .KEY и .CRT.

Кратко про сертификат и ключи

Сертификат — публичен. содержит открытый ключ владельца сертификата, сведения о владельце\удостоверяющем центре\информацию по алгоритмам и т.д. и подпись УЦ, который издал этот сертификат. Он не может содержать закрытого ключа.

Открытый ключ — доступен для всех пользователей, необходим для проверки подписи\для зашифровки информации. Открытый ключ можно без опасений передавать, не рискуя при этом сохранностью данных

Закрытый ключ — необходим для подписания\для расшифровки данных. Хранение закрытого ключа осуществляется только у владельца электронной цифровой подписи

Данные шифруются с помощью открытого ключа, а расшифровать их можно только тем закрытым ключом, который связан именно с этим открытым ключом.

Открытый и закрытый ключ — парные, взаимосвязанные и уникальные. Ключи связаны за счёт математического соотношения. Подобная технология обеспечивает безопасность шифрования данных. Даже в случае перехвата информации её практически невозможно расшифровать.

Для каждого открытого ключа — существует только 1 закрытый и наоборот. Для каждого открытого ключа может существовать 1 и более сертификатов.

CSR запрос это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию о домене, на который планируется выпустить SSL сертификат и информация об организации и открытый ключ.

Вместе с CSR будет сгенерирован закрытый ключ (private key), которым сервер или сервис будет расшифровывать трафик между ним и клиентом.

Формируем запрос и выпускаем по нему наш сертификат Exchange

В exchange на заканчивающемся сертификате жмём «продлить». Формируется запрос.

Перевыпускаем сертификат в центре сертификации, указывая наш файл запроса от exchange.

Получаем сертификат от центра сертификации (в формате .CER) домена основного и поддоменов mail.site.ru, autodiscover.site.ru

С сайта скачиваем полученные после выпуска:

• Корневой сертификат
• Промежуточный сертификат 1
• Сам Сертификат

Импортируем его в хранилище сертификатов и из этого хранилища экспортируем его в формате .PFX, ВМЕСТЕ с приватным ключом.

Если вы делали запрос на выпуск сертификате НЕ на Exchange сервере и вам пришлют crt (а не pfx файл) — то вы не сможете сделать импорт на Exchange, так как у вас нет закрытого ключа.

Установка сертификата на exchange

На ожидающий нас запрос в панели ecp панели exchange жмём «выполнить» и указываем наш Сертификат. Готово.

Его можно назначать службам либо через панель либо командой в exchange management shell

Enable-ExchangeCertificate -Thumbprint 34AC7FF06943636C9D4C920644AEDC000D -Services POP,I
MAP,IIS,SMTP

Ошибка Microsoft Exchange could not find a certificate that contains the domain name

Причём после назначения аутлук при запуске стал выдавать ошибку

Microsoft Exchange could not find a certificate that contains the domain name Therefore, it is unable 
to support the STARTTLS SMTP verb for the connector Client Frontend MAIL2 with a FQDN parameter of

Причина в том, что Exchange устанавливает самозаверяющий сертификат с именем хоста и полным доменным именем сервера, т.е. в нашем случае.

Чтобы воссоздать самозаверяющий сертификат и назначить его службе SMTP, выполните команду в exchange management shell:

New-ExchangeCertificate -Force

Проблема решена.

Экспорт сертификата для веб-сервера

Теперь этот же сертификат поставим на наш сайт.

Экспортируем его из exchange из панели ecp, при этом создаём пароль не менее 4 символов при экспорте. Получаем файл .pfx.

Из PFX в KEY и CRT с помощью openssl 

Ставим себе openssl программу, настраиваем её вводя команды для работы только в первой текущей сессии через командную строку:

set OPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg
set Path=%Path%;C:\OpenSSL-Win64\bin

Затем этой программой экспортируем приватный ключ из файла .PFX, но он будет зашифрован. И наконец, расшифровать его опять программой openssl. Вытаскиваем открытую часть pfx-сертификата:

openssl pkcs12 -in z.pfx -clcerts -nokeys -out certificate.crt

Извлечь закрытую часть сертификата (вместе с приватным ключом), поместив её в отдельный запароленный файл:

openssl.exe pkcs12 -in z.pfx -nocerts -out encrypted.key

После выполнения команды вам придется ввести не только пароль, который использовался для экспорта .pfx-сертификата, но и новый пароль, необходимый для защиты .key-файла.

Закрытый ключ сертификата с парольной защитой не всегда удобно использовать на реальном окружении. Например, Apache будет спрашивать пароль при каждом рестарте сервиса, что будет требовать человеческого участия. Обойти проблему можно, сняв пароль с закрытого ключа:

openssl rsa -in encrypted.key  -text -out rsa.key

Установка сертификата с ключом на веб сервер

У нас есть сертификат, ключ, а также цепочка из корневого и промежуточного (которые получили вначале), теперь их можно установить на веб сервер.

Всё поставилось без проблем. Это самый простой и быстрый вариант.

Полученный из центра сертификации сертификат с ключами можно поставить только на веб сервер. На exchange он будет ставится с проблемами и дольше гораздо. Вроде бы можно поставить новый сертификат, который встал на exchange успешно с прошлым ключом на веб-сервер — нет, нельзя, он не поставится. Поэтому алгоритм только как описан выше.