Gebruik eigen certificaten in Exchange 2010

Voor een test omgeving wilde ik graag men eigen certificate server gebruiken om certificaten mee te maken.

Dit had ik gedaan door een request file te maken helaas kan de Windows 2008 PKI server hier nee mee overweg, hier de stappen om dit probleem op te lossen.

Voor deze demo wil ik gebruik maken van certificaten met daarin meerdere subject alternative names.

Start er EMC en vraag een nieuw certificaat aan.

Geef het certificaat een naam

We gaan voor deze demo geen Wildcard certificaat maken.

Selecteer de diensten die je wilt aanbieden en de namen die je ervoor gaat gebruiken.

Hierheb je de lijst met alle namen die je nodig hebt, hier kun je extra namen toevoegen zoals de namen van elke mailserver. (Dat is ook nodig als je TMG icm een webfarm wil gebruiken).

Vul de velden in zoals gewenst

Click next

Daar is je certificaat aanvraag

Nu gaan we verder op de PKI server die we al hebben ingericht.

Open een command prompt en type de volgende commando's om subject alternative names mogelijk te maken.

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

Nu hebben we het exchange 2010 request file nodig dat we hiervoor gemaakt hebben, deze is standaard gemaakt in het unicode formaat dat de Windows 2008 R2 pki server niet leuk vindt, dus eerst moeten we deze omzetten.

Open hiervoor het request file in notepad

Open je eerder gemaaktecertificaatinnotepad

Sla het bestand weer op met een naam naar keuze

Selecteer wel ANSI als Encoding

Ik sla het bestand op met de zelfde naam vandaar deze melding.

Nu het bestand omgezet is kunnen we de aanvraag doen aan onze PKI server, dit moet vanaf de commandline omdat het request niet aangeeft welke template nodig is.

certreq -submit -attrib "CertificateTemplate:WebServer" "C:\Certificaat Aanvraag.req"

Selecteer je PKI server

Selecteer je certificaat aanvraag die je net met notepad hebt opgeslagen.

Hier zie je dat je certificaat goed is aangemaakt.

Het bestand wat we nu hebben opgeslagen kunnen we weer in Exchange importeren.

Nu gaan de we aanvraag afronden

Selecteer het bestand dat we hiervoor met certreq hebben gemaakt

Klaar.

Kopieer het bestand indien nodig naar je andere exchange servers.