Сертификат от Let’s Encrypt для домена @ekzorchikdom.ru закончился

Posted by

Домашний мониторинг показал, что я прошляпил все уведомления что сертификат от Let's Encrypt для домена @ekzorchikdom.ru закончился, т.е. выделенные 90 дней бесплатного закончились и нужно перевыпустить заново (вручную). Это плата за бесплатность, ну ничего страшного. Посмотрел с системы Zabbix каково состояние сертификата — а значение то ноль "0",

но так как у меня это мой тестовый почтовый сервер, то не столь важно сделал я это вовремя или не вовремя.

На заметку: СТОП!!! я же от доступа из вне на IIS отказался, а в мониторинге не поправил. Так что проверка выше не имеет смысла.

Предварительные действия:

и далее смотрим все что относится к домену ekzorchikdom.ru через поиск на моем блоге https://win.ekzorchik.ru платного раздела.

Шаг №1: Кстати, а когда он закончился, т.е. истек период в 90 дней?

logon in srv-mail01-cas (Login: ekzorchik Group: Administrators, DHCP Administrators, Domain Admins, Enterprise Admins, Organization Management, Schema Admins)

Start - Control Panel - View by: Small icons - Administrative Tools - Internet Information Services (IIS) Manager — разворачиваю SRV-MAIL01-CAS (POLYGON\ekzorchik)) - (IIS) Server Certificates и вижу что мой сертификат от Let's Encrypt закончился 07.01.2024 в 08:11:29

Сертификат от Let's Encrypt для mail.ekzorchikdom.ru закончился

т.е. по сравнению с текущим днем 12.01.2024 это не так давно, как же давно я не притрагивался к своему тестовому стенду с Exchange на борту, все что мне нужно уже разобрано и обновлено на работе.

Шаг №2: Удаляю установленный просроченный сертификат от Let's Encrypt:

logon in srv-mail01-cas (Login: ekzorchik Group: Administrators, DHCP Administrators, Domain Admins, Enterprise Admins, Organization Management, Schema Admins)

Start - All Programs - Accessories — через правый клик на Command Prompt выбираю меню, что запустить командную строку с правами администратора, т.е. Run as administrator

C:\Users\ekzorchik.POLYGON\mmc.exe - File - Add/Remove Snap-in…

Available snap-ins: выбираю Certificates и нажимаю Add

  • This snap-in will always manager certificates for: Computer account
  • Select the computer you want this snap-in to manager: Local computer

нахожу mail.ekzorchikdom.ru и удаляю

Certificates (Local Computer) - Personal - Certificates через правый клик на mail.ekzorchikdom.ru выбираю Delete

Удаляю просроченный сертификат на mail.ekzorchikdom.ru

также поступаю и для

  • This snap-in will always manager certificates for: Current User

Certificates - Current User - Personal - Certificates и через правый клик на mail.ekzorchikdom.ru выбираю Delete

Шаг №3: Перезапускаю IIS

logon in srv-mail01-cas (Login: ekzorchik Group: Administrators, DHCP Administrators, Domain Admins, Enterprise Admins, Organization Management, Schema Admins)

Start - Control Panel - View by: Small icons - Administrative Tools - Internet Information Services (IIS) Manager — разворачиваю SRV-MAIL01-CAS (POLYGON\ekzorchik) - (Actions) Manage Server нажимаю Restart

Перезапускаю IIS

Шаг №4: Обновляю/Перевыпускаю сертификат на DNSзапись: mail.ekzorchikdom.ru:

logon in srv-mail01-cas (Login: ekzorchik Group: Administrators, DHCP Administrators, Domain Admins, Enterprise Admins, Organization Management, Schema Admins)

Start - All Programs - Accessories — через правый клик на Command Prompt выбираю меню, что запустить командную строку с правами администратора, т.е. Run as administrator

Создаю на хостинге TXT запись

Создаю TXT запись для mail.ekzorchikdom.ru

и жду минут 10 и только после в консоли командной строки нажимаю клавишу ENTER

Теперь удаляем созданную TXT запись или переименовываем с mail на mail2 дабы в следующий раз не создавать заново и ждем также минут 10.

Шаг №5: После чего сертификат для mail.ekzorchikdom.ru появится в

logon in srv-mail01-cas (Login: ekzorchik Group: Administrators, DHCP Administrators, Domain Admins, Enterprise Admins, Organization Management, Schema Admins)

Start - All Programs - Accessories — через правый клик на Command Prompt выбираю меню, что запустить командную строку с правами администратора, т.е. Run as administrator

C:\Users\ekzorchik.POLYGON\mmc.exe - File - Add/Remove Snap-in…

  • Available snap-ins: выбираю Certificates и нажимаю Add
  • This snap-in will always manager certificates for: Computer account
  • Select the computer you want this snap-in to manager: Local computer

но он пока только не экспортируемый, чтобы был экспортируемым нужно взять заметку: "Как экспортировать Let’s Encrypted сертификат с Windows Server 2012 R2"

мы его добавляем в mmc.exe - Certificates - Current User - Personal - Certificates и уже отсюда через правый клик экспортируем как pfx файл и сами добавляем ему пароль, к примеру, Aa1234567aA

а после из Certificates (Local Computer) - Personal - Certificates удаляет тот что прописался при создании от утилиты wacs.exe с отметкой, как неэкспортированный.

Шаг №6: Импортирую в Exchange Management Console pfx файл сертификата на mail.ekzorchikdom.ru:

logon in srv-mail01-cas (Login: ekzorchik Group: Administrators, DHCP Administrators, Domain Admins, Enterprise Admins, Organization Management, Schema Admins)

Start - All Programs - Microsoft Exchange Server 2010 - Exchange Management Console - Microsoft Exchange - Microsoft Exchange On-Premises (srv-mail01-cas.polygon.local)

В разделе "Server Configuration" выбираем сервер Exchange, затем нажимаем справа нажимаем на кнопку Import Exchange Certificate, указываем путь до pfx сертификата и указываем пароль к приватному ключу:

  • Select the file name to import a certificate and the private key: нажимаю Browse и указываю путь C:\Users\ekzorchik.POLYGON\Downloads\mail.ekzorchikdom.ru(Aa1234567aA).pfx
  • Password: Aa1234567aA

Импортирую PFX сертификат для mail.ekzorchikdom.ru

и нажимаю Next

  • Select Servers: оставляю по умолчанию

и нажимаю Next, Import,

Импорт сертификата в Exchange 2010 прошел успешно.

Finish.

  • После нужно сертификат mail.ekzorchikdom.ru обозначиться на сервисы: IMAP,POP,SMTP
  • После нужно сертификат на srv-mail01-cas.amilux.local обозначить на сервис: IIS

Сертификаты в Exchange 2010 привожу к виду назначенных на сервисы (в моем случае)

Шаг №7: Проверить что я могу подключаться из вне через IMAP со смартфона и Microsoft Outlook, и почта принимается и отправляется и нет никаких ошибок. У меня все работает.

Итого: я для своего тестового Exchange сервера прошел по шагам по обновлению/перевыпуску сертификата от Let's Encrypt для mail.ekzorchikdom.ru

На этом заметка для самого себя успешно завершена, с уважением автор блога Олло Александр aka ekzorchik.