Til Exchange 2007 bør man velge et UC SAN SSL sertifikat.

Microsoft anbefaler å bruke SAN (Subject Alternative Name) SSL sertifikat for installering på Exchange 2007.
Microsoft anbefaler videre å bruke ett hoveddomene (common name) og tre ekstra SAN-felter.

For et domene mail.domene.no vil feltene som skal valideres kunne feks være følgende:

• Common name: webmail.commfides.com - dette er domenet som brukes for å logge inn på webmail
• SAN-felt 1: autodiscover.commfides.com - dette er for å støtte en service som oftest er i bruk
• SAN-felt 2: exchange01 - dette er kortnavnet på Exchange-serveren og trengs ved tilgang innenfor brannmuren
  
• SAN-felt 3: exchange01.commfides.local - dette er langnavnet på Exchange-serveren på nettverket og trengs ved tilgang innenfor brannmuren
  

Med et UC SAN SSL kan du legge inn mange ekstra SAN-felter, og du har mulighet til å få reutstedt sertifikatet med flere eller andre SAN-felter i løpet av sertifikatets levetid.
UC SAN SSL er preinstallert i de aller fleste PDA'er og Mobiltelefoner.

For å generere en Certificate Signing Request (CSR) for Exchange 2007 gjør følgende:

Fra Exchange Management Shell command line, skriv inn korrekt server- og firmainformasjon inn i følgende format:

New-ExchangeCertificate -GenerateRequest -SubjectName "O=FIRMANAVN, C=LANDSKODE,  CN=HOVEDDOMENE" -DomainName DOMENENAVN2, DOMENENAVN3, DOMENENAVN4 -FriendlyName "HOVEDDOMENE" -PrivateKeyExportable:$True -Force -Path C:\TEMP\SANCERT.REQ -KeySize 2048

I dette tilfellet benyttes filen c:\temp\sancert.req til å generere sertifikatet.

NB: DOMENENAVN2, 3 og 4 må fylle følgende krav:

1. Domenene kan være under samme toppdomene som hoveddomenet (Eks: Hvis hoveddomenet er webmail.commfides.com, så kan de andre domenene ligge under .commfides.com, f.eks autodiscover.commfides.com)
2. Domenene kan eies av samme eier (i WHOIS) som hoveddomenet (Eks: e-id.no og commfides.no har samme eier i Norid: Commfides Norge AS)
3. Domenet kan ha et ikke-registrert toppdomene men de må slutte på en av følgende .local / .test / .example / .invalid / .localhost / .lan / .priv / .localdomain (Eks: exchange01.commfides.local)
4. Domenet kan være et serverhost navn (Eks: exchange01)

Forklaring av de ulike elementene i scriptet over:

• FIRMANAVN - Firmanavnet akkurat slik det er oppført i WHOIS for domenet som skal valideres. For .no-domener sjekk WHOIS på www.norid.no. Eks: Commfides Norge AS
• LANDSKODE - 2-bokstavers landskode der firmaet som eier domenet er registrert. For norske firmaer er dette: NO
• HOVEDDOMENE - Domenet hvor brukerne logger inn på sin Webmail. Eks: webmail.commfides.com
• DOMENENAVN2 - Domenet brukt av tjenesten Autodiscover. Eks: autodiscover.commfides.com
• DOMENENAVN3 - Kortnavnet på Exchange-serveren inne på nettverket. Eks: exchange01
• DOMENENAVN4 - Langnavnet på Exchange-serveren inne på nettverket. Eks: exchange01.commfides.local
• C:\TEMP\SANCERT.REQ - Stien og filnavnet på den ferdiggenererte CSR-filen. Du velger selv sti og filnavn.
• -PrivateKeyExportable $True - Dette gjør det mulig å senere eksportere ut sertifikatet med den private nøkkelen.
• -KeySize 2048 - Dette bestemmer hvor stor bitsstørrelse nøkkelen skal ha. Minimumskrav er nå: 2048

Eksempel på et korrekt utfylt script til å skrive inn på Exchange Management Shell command line:

New-ExchangeCertificate -GenerateRequest -SubjectName "O=Commfides Norge AS, C=NO,  CN=webmail.commfides.com" -DomainName autodiscover.commfides.com, exchange01, exchange01.commfides.local -FriendlyName "webmail.commfides.com" -PrivateKeyExportable:$True -Force -Path C:\Temp\SANCERT.req -KeySize 2048

For å installere Rot og Mellomliggende sertifikater med MMC gjør følgende:

For å installere Rot og Mellomliggende sertifikater på Exchange 2007 MÅ MMC benyttes, ikke IIS!
NB: Det er viktig at Rot og Mellomliggende sertifikater installeres FØR du installerer domenesertifikatet!

1. Åpne Microsoft Management Console (MMC)
   
   
   
   Start -> Run -> Skriv inn "mmc" (uten hermetegn) og klikk 'OK' eller trykk på Enter på tastaturet.
   
   
2. Åpne 'Add/Remove Snap-in' vinduet
   
   
   
   File -> Add/Remove Snap-in
   
   
3. Legg til Certificates Snap-in
   
   
   
    
   
   Klikk 'Add' og deretter dobbeltklikk på 'Certificates'
   
   
4. Velg 'Computer Account' og klikk 'Next'
   
   
   
   NB: Dette steget er veldig viktig. Det må være 'Computer Account' og ingen annen konto
   
   
5. Velg 'Local Computer' og klikk 'Finish'
   
   
   
   
6. Lukk 'Add Standalone Snap-in' vinduet og klikk 'OK' i 'Add/Remove Snap-in' vinduet.
   
   
7. Du vil nå bli sendt tilbake til MMC.

Installer / importer Rot og Mellomliggende sertifikater

Utvid sertifikatseksjonen ved å klikke på plusstegnet (+) slik at det blir et minustegn (-) for å vise 'Certificates' treet.

Installer Rot-sertifikatet

1. Høyreklikk på 'Trusted Root Certification Authorities', velg 'All Tasks', og velg deretter 'Import'.
   
   
   
   
2. Klikk 'Next'.
   
   
   
   
3. Finn Rot-sertifikatet og klikk 'Next'.
   
   
   
   Når guiden er utført, klikk 'Finish'.

Installer Mellomliggende-sertifikat(er):

Det kan ofte være flere enn bare ett Mellomliggende sertifikat.

Prosessen er akkurat den samme bortsett fra at du skal velge 'Intermediate Certification Authorities' i stedet for 'Trusted Root Certificate Authorities' og at filen(e) som skal importeres er de filene som er igjen utenom ditt domene-sertifikat.

For å installere sertifikat på Exchange 2007 gjør følgende:

1. Installer Intermediate og Root sertifikatene via MMC (NB: Viktig at dette gjøres FØR neste steg)
2. Kjør følgende script:
   Import-ExchangeCertificate -Path C:\sertifikat.crt | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
   PS: velg kun de services du trenger. Fjern de du ikke trenger ovenfor.
3. Bekreft installasjonen:
   Get-ExchangeCertificate -DomainName www.domene.no
   • S = SMTP
   • I = IMAP
   • P = POP
   • U = Unified Messaging
   • W = Web/IIS

PS: hvis du ønsker å legge til flere servicer senere på sertifikatet, gjør følgende:
Enable-ExchangeCertificate -Thumbprint [lim inn thumbprint her] -Services "SMTP, IMAP, POP, IIS"

Thumbprint får du ved å liste sertifikatet med Get-ExchangeCertificate -DomainName sertifikat.crt

Restart Websiten ved hjelp av IIS.

NB: Dersom din webside fortsatt viser sertifikatfeil, er det mulig du må stoppe og starte websiten eller til og med IIS tjenesten selv. Dersom dette også feiler må man restarte selve serveren. Husk at restarting av serveren kun skal brukes som en siste utvei.

Dersom du skal installere sertifikatet på flere Exchange 2007, må du gjøre følgende:

1. Eksportere med privat nøkkel (.pfx) fra den første serveren
2. Importer pfx inn i den neste Exchange-serveren
3. Start commando-shellet
   • Enable-ExchangeCertificate -Thumbprint [lim inn thumbprint her] -Services "SMTP, IMAP, POP, IIS"
   • Get-ExchangeCertificate -DomainName www.domene.no 

SSL og TLS har i en periode faset ut bruk av Intranett-navn, servernavn, IP-adresser og lokale domener som hoveddomenenavn eller Alternativt navn for emne (SAN-er) i SSL-sertifikater. Dette er en bransjeomfattende avgjørelse og ikke spesifikk for Commfides.

For mer informasjon, les Akseptable Intern domenenavn.

Hvis du benytter Microsoft® Exchange Server, så vil du imøtekomme kravene fra Certificate Authorities Browser Forum guidelines ved å rekonfigurere din server til å akseptere et offisielt akseptert domenenavn (FQDN). For eksempel så kan du endre et internt navn som server.local til mail.dittdomene.no.

Hvis du allerede ikke har gjort det, og for å sikre at intern Autodiscover fortsetter å fungere, må du opprette en intern DNS sone for domenenavnet ditt (f.eks. autodiscover.dittdomene.no) og et MX record som peker til serverens interne IP adresse.

Koden nedenfor viser eksempel på hvordan du kan omkonfigurere din exchange:

• Erstatt mail.dittdomene.no med ditt riktige domeneanvn (FQDN)
• Erstatt Ditt_Servernavn med ditt servernavn

MERK: Vi anbefaler på det sterkeste at kun erfarne Exchange konsulenter eller administratorer følger denne prosedyren. Disse instruksjonene gjelder IKKE Windows Server® 2012 eller Microsoft Small Business Financials (SBF) Server.
(Commfides tar ikke ansvar for feil som måtte oppstå på bakgrunn av denne artikkelen)

For å rekonfigurere Microsoft Exchange Server til å bruke et Fully Qualified Domain Name:

1. Start Exchange Management Shell.
2. For å endre Autodiscover URL, skriv inn følgende kommando og tast Enter:

Set-ClientAccessServer -Identity Ditt_Servernavn -AutodiscoverServiceInternalUri https://mail.dittdomene.no/autodiscover/autodiscover.xml

3. For å endre InternalUrl attributtten for EWS, skriv inn følgende kommando og tast Enter:

Set-WebServicesVirtualDirectory -Identity "Ditt_Servernavn\EWS (Default Web Site)" -InternalUrl https://mail.dittdomene.no/ews/exchange.asmx

4. For å endre InternalUrl attributtten for Web-based Offline Address Book distribution, skriv inn følgende commando og tast Enter:

Set-OABVirtualDirectory -Identity "Ditt_Servernavn\oab (Default Web Site)" -InternalUrl https://mail.dittdomene.no/oab

5. Hvis du benytter Unified Message service i Exchange Server 2007: For å endre InternalUrl attributten for UM Web service, skriv inn følgende commando og tast Enter:

Set-UMVirtualDirectory -Identity “Ditt_Servernavn\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.dittdomene.no/unifiedmessaging/service.asmx

6. For å oppfriske Application Pools, åpne IIS Manager.
7. Utvid local computer, og deretter utvid Application Pools.
8. Høyreklikk på MSExchangeAutodiscoverAppPool, og deretter klikk Recycle.