Jak získat a nastavit SSL certifikát zdarma + konfigurace virtuálních adresářů

HTTPS-SSL-logoV dnešním článku popíšu, jak získat zdarma podepsaný certifikát (Class 1) pro doménu sabrnak.cz a subdoménu mail.sabrnak.cz. Je důležité předem znát, jak budeme externě přistupovat na náš Exchange webmail a další služby, protože máme možnost zdarma podepsat pouze 1 doménu a 1 subdoménu, kterou později nelze měnit. Ke konci článku nastavíme externí přístup virtuálních adresářů na doménu mail.sabrnak.cz a spustíme test funkčnosti služeb.

Část 1 – Generování SSL Class 1 certifikátu

  • Otevřeme web https://www.startssl.com/ a klikneme na Sign-up, kde následně vyplníme své osobní údaje a podstoupíme další potřebné kroky k úspěšné registraci. Doufám, že registraci zvládnete sami.

SSL-certifikat-zdarma-1

  • Posledním krokem registrace bude za potřebí vložit kód, který nám byl zaslán na registrační e-mail.
  • Po ověření kódu budeme vyzváni k instalaci certifikátu, přes který se budeme připojovat do našeho StartSSL účtu. Klikneme tedy na tlačítko Install a pak na Finish.
  • Nyní bychom měli být v Control Panelu.
  • Hned ze začátku si zazálohujte svůj certifikát. Pokud ho ztratíte, budete mít velké problémy, nedostanete se na svůj účet. Certifikát najdete ve svém internetovém prohlížeči. V Internet Exploreru 10 certifikát vyexportujeme v Nástrojích > Možnosti Internetu > Obsah > Certifikáty > Váš StartSSL certifikát > Exportovat.

SSL-certifikat-zdarma-1-3

  • Nyní se přesuneme do Validation Wizard, kde bude za potřebí ověřit zda jsme skutečným majitelem domény. Zvolíme Domain Name Validation.

SSL-certifikat-zdarma-2

  • Zadáme doménu, pro kterou budeme později generovat certifikát.

SSL-certifikat-zdarma-3

  • Teď nastane možná menší zádrhel. Ověřovací kód domény, který nám za chvíli přijde mailem, můžeme zaslat pouze na 5 předdefinovaných adres. Pokud nemáte tedy založenou e-mailovou schránku z následujícího seznamu, založte si ji. Přijde na ní ověřovací kód, že jsme vlastníci domény.

SSL-certifikat-zdarma-4

  • Do prázdného pole vložíme ověřovací kód, získaný z vybrané e-mailové schránky.

SSL-certifikat-zdarma-5

  • Klikneme na Finish.

SSL-certifikat-zdarma-6

  • Ověřili jsme, že jsme vlastníci domény. Můžeme se vrhnout na vytváření certifikátu pro web. Klikneme na Certificates Wizard a jako výstupní cíl vybereme Web Server SSL/TLS Certificate.

SSL-certifikat-zdarma-7

  • Zvolíme heslo, sílu šifrování a hash algoritmus pro náš privátní klíč a klikneme na Continue. Heslo si zapamatujte. Pokud ho ztratíte, jako já kdysi, bude vás revokace certifikátu stát 500 Kč. (Pokud máte vygenerovaný CSR požadavek na klíč přímo z Exchange serveru, přeskočte tento krok.)

SSL-certifikat-zdarma-8

  • Potvrdíme zprávu, která nám vyskočila tlačítkem OK. Informuje to, co jsem zmínil výše s CSR Exchange požadavkem.

SSL-certifikat-zdarma-9

  •  Vygenerovaný privátní klíč uložíme do klasického poznámkového bloku, který později použijeme. Pojmenujeme ho např. private.txt a klikneme na Continue.

SSL-certifikat-zdarma-10

  • Systém nás vyzve pro přidání sub domény, pro kterou bude také platit certifikát. V mém případě mail.sabrnak.cz, na kterém je hostovaný Exchange OWA.

SSL-certifikat-zdarma-12

  • Potvrdíme vygenerování veřejného certifikátu pro námi vybranou doménu a sub doménu.

SSL-certifikat-zdarma-13

  • Zkopírujeme vygenerovaný veřejný klíč opět do poznámkového bloku, který nazveme public.txt. (Pokud se vám nezobrazí vygenerovaný veřejný klíč, získáte ho v Tool Boxu > Retreive Certificate)

SSL-certifikat-zdarma-14

  • V horním menu klikneme na Tool Box a následně na Create PKCS#12 (PFX) File, kde spojíme v horním boxu privátní klíč (private.txt) a do spodního veřejný klíč (public.txt). Vložte tedy obsah těchto dvou souborů do boxů a heslo, které jsme zadali, když jsme generovali privátní klíč.

SSL-certifikat-zdarma-18

  • Klikneme na tlačítko Get PFX a soubor uložíme na disk.

SSL-certifikat-zdarma-19

Část 2 – Nasazení certifikátu na Exchange 2013

  •  Otevřeme Správce Internetové informační služby (IIS Manager). Klikneme na název našeho serveru a v pravo 2x klikneme na Certifikáty serveru.

SSL-certifikat-zdarma-21

  • Uvidíme seznam všech vygenerovaných certifikátů. Vpravo klikneme na Importovat

SSL-certifikat-zdarma-22

  • Otevře se okno, ve kterém zvolíme náš vygenerovaný .p12 certifikát, klikneme na tři tečky ““.

SSL-certifikat-zdarma-23

  • V dialogu najdeme a otevřeme vygenerovaný .p12 certifikát, který jsme dříve uložili na disk. Bude za potřebí zobrazit všechny přípony, protože IIS Manager nám nabízí pouze .pfx soubory.

SSL-certifikat-zdarma-24

  • Vložíme heslo certifikátu, rozhodneme se zda chceme mít klíč exportovatelný a klikneme na OK.

SSL-certifikat-zdarma-25

  • Importovaný certifikát bychom měli vidět v seznamu.

SSL-certifikat-zdarma-26

  • Otevřeme EMS (Exchange Managment Shell) a zobrazíme si aktuálně nainstalované certifikáty s jejich hodnotou hash certifikátu a na jaké služby je používán.
get-exchangecertificate | fl thumbprint, issuer, services
  • Hodnota hash certifikátu je tzv. identifikátor, na jehož základě budeme povolovat určité služby. Hash certifikátu je ukázán na obrázku v červeném rámečku. Z bezpečnostních důvodů jsem jej a ostatní rozmazal.

SSL-certifikat-zdarma-30

  • Jakmile známe hash našeho nového certifikátu, vložíme ho do následujícího příkazu místo XXXXXX a spustíme příkaz.
enable-exchangecertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXXX -Services IIS,SMTP,POP,IMAP
  • Nyní jsme aktivovali náš nově vygenerovaný certifikát pro služby IIS, SMTP, POP a IMAP. Doporučuji smazat ostatní nepoužívané certifikáty, které si Exchange v defaultu vytvořil. To provedete IIS Manageru v Certifikátech serveru. Nesmažte si WMSVC certifikát, jinak budete mít problémy!

Část 3 – Nastavení externího přístupu pro podepsanou doménu

  • Pokud si dobře pamatujete, podepisoval jsem doménu sabrnak.cz a mail.sabrnak.cz. Ukážu postup, jak rychle nastavit Exchange a jeho virtuální adresáře pro externí přístup několika kliky v ECP pro podepsanou doménu mail.sabrnak.cz. Jděte tedy do ECP (Exchange Control Panel) a v levém menu zvolte Servery a v horní nabídce Virtuální adresáře a klikněte na ikonu hasáku.

SSL-certifikat-zdarma-33

  • Vybereme server klientského přístupu kliknutím na tlačítko plus “+“, zvolíme požadovaný Exchange server a klikneme na OK. Zadáme název domény, který budete používat s externími servery klientského přístupu = mail.sabrnak.cz. Viz. obrázek.

SSL-certifikat-zdarma-34

  • Počkáme chvíli, než se server nakonfiguruje.
  • Vrátíme se ještě do EMS (Exchange Managment Shell) a spustíme příkaz pro nastavení interní Autodiscover URL. Místo identity SABRNAKCZ napište hostname vašeho serveru, např. SRV01 a změňte si adresu URL místo mail.sabrnak.cz na vaši.
  • Po této operaci doporučuji restartovat všechny služby Exchange a IIS, nebo rovnou celý server.
set-clientaccessserver -identity SabrnakCZ -AutoDiscoverServiceInternalUri https://mail.sabrnak.cz/Autodiscover/Autodiscover.xml
  • Nakonec spusťte v EMS příkaz Test-OutlookWebServices, zda všechny služby pracují správně a ukazují správně doménu pro externí přístup.

SSL-certifikat-zdarma-35

Rekapitulace

Zaregistrovali jsme se na server StartSSL.com a vyexportovali jsme si certifikát z prohlížeče, pro případnou budoucí konfiguraci a přístup do administrace. Vytvořili jsme zdarma certifikát, který jsme aplikovali na služby serveru a ostatní nepoužité jsme smazali. Nastavili jsme Exchange doménu pro externí přístup mail.sabrnak.cz, která souhlasí s vygenerovaným certifikátem. Vše jsme dovršili testovacím příkazem Test-OutlookWebServices.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.