Установка wildcard-сертификата на Exchange 2016/2019

Настраиваем сервер

Откройте PowerShell консоль

меняйте в командах mail.contoso.com на свой домен yourmail.adminotes.ru

Get-ExchangeCertificate
скопируйте отпечаток сертификата, в примере 434AC224C8459924B26521298CE8834C514856A1
Get-ReceiveConnector -Identity "Client Frontend*" | Set-ReceiveConnector -Fqdn mail.contoso.com
FQDN например mail.contoso.com
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856A1 -Services POP,IMAP,IIS,SMTP
Set-ImapSettings -ExternalConnectionSettings "mail.contoso.com:993:SSL", "mail.contoso.com:143:TLS" -X509CertificateName mail.contoso.com
Restart-Service MSExchangeIMAP4; Restart-Service MSExchangeIMAP4BE

Дополнительно:

$TLSCert = Get-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856A1

$TLSCertName = "$($TLSCert.Issuer)$($TLSCert.Subject)"

Get-ReceiveConnector -Identity "Client Frontend*" | Set-ReceiveConnector -TlsCertificateName $TLSCertName

Для настройки Outlook в веб и отображения SMTP настроек:

Get-ReceiveConnector -Identity "Client Frontend*" | Set-ReceiveConnector -AdvertiseClientSettings $true

Проверяем:

Get-ExchangeCertificate | Format-List Thumbprint,Issuer,Subject,CertificateDomains,Services

Get-ClientAccessService | Test-ImapConnectivity -MailboxCredentia
clear

Подробная версия пошаговой инструкции по установке wildcard-сертификата на Exchange 2016 / 2019

Ниже — сжатая и проверяемая последовательность действий, полезные PowerShell-команды, варианты проверки и типичные ошибки. Сохраняйте резервную копию текущих сертификатов перед началом.

1. Подготовка и получение сертификата (CSR)

Создайте запрос (CSR) с указанием Common Name и нужных альтернативных имён (SAN). Для wildcard используйте имя вида *.example.com.

Common Name (CN): *.example.com
SAN: например autodiscover.example.com, mail.example.com, owa.example.com и т.д.

Генерация CSR в MMC (Certificates) или через CA / OpenSSL — на ваш выбор. Если генерируете прямо на Exchange, используйте IIS MMC или команды для экспорта запроса.

2. Импорт сертификата на сервер Exchange

После получения от CA файла сертификата (обычно .cer или .crt) импортируйте его в локальное хранилище сервера. В MMC: Certificates (Local Computer) → Personal → Certificates → All Tasks → Import.

Если сертификат пришёл в цепочке (CA bundle), импортируйте также промежуточные сертификаты в Trusted Root / Intermediate Certification Authorities.

3. Установка и назначение служб через Exchange Management Shell

Ниже приведены ключевые команды. Вставки кода редактировать не нужно — копируйте и выполняйте в EMS (Exchange Management Shell).

Найти только что импортированный сертификат (по subject или thumbprint):

Get-ExchangeCertificate | Where-Object {$_.Subject -like "*CN=*.example.com*" } | Format-List Thumbprint,Subject,Services

Назначение сертификата службам (IIS, SMTP, IMAP, POP — укажите нужные):

Enable-ExchangeCertificate -Thumbprint  -Services IIS,SMTP

Если сертификат уже назначен другим службам и нужно заменить — используйте тот же Enable-ExchangeCertificate и подтвердите замену при запросе.

4. Привязка к IIS (если необходимо вручную)

После назначения перезапустите IIS, чтобы привязки обновились:

iisreset /noforce

Если требуется ручная привязка в IIS Manager: Sites → Default Web Site → Bindings → edit https → выберите PFX/сертификат.

5. Экспорт PFX (если нужно перенести на другой сервер)

Экспорт .pfx с закрытым ключом можно выполнить через MMC (экспорт с Private key) или PowerShell:

$pwd = ConvertTo-SecureString -String "StrongPassword" -Force -AsPlainText
Export-PfxCertificate -Cert "Cert:\LocalMachine\My\" -FilePath "C:\temp\wildcard.pfx" -Password $pwd

Замените \ и пароль на безопасные значения.

6. Проверка корректности

Проверьте список сертификатов в Exchange:
```
Get-ExchangeCertificate | FL Thumbprint,Subject,NotAfter,Services
```
Проверьте доступ к OWA/ECP по HTTPS в браузере — без ошибок безопасности.
Проверьте SMTP TLS: отправка тестового письма и лога, либо команда PowerShell для теста SMTP-STARTTLS.
Проверка внешней доступности и цепочки сертификатов — онлайн инструменты (SSL Labs) или internal tools.

7. Частые ошибки и как их исправить

Сертификат не показывает сервисы (Services пустые)

Выполните назначение служб командой Enable-ExchangeCertificate и перезапустите IIS.

Ошибки доверия браузера (нет промежуточного сертификата)

Импортируйте цепочку CA (intermediate) в Intermediate Certification Authorities.

SMTP остаётся на старом сертификате

Убедитесь, что сертификат назначен на SMTP и перезапустите транспортный сервис:

Restart-Service MSExchangeTransport

Срок действия сертификата скоро истекает

Планируйте обновление заранее; wildcard также нужно обновлять и повторно назначать на серверах.

8. Рекомендации по безопасности и эксплуатации

Храните PFX в защищённом месте и используйте сложный пароль для экспорта.
Ограничьте доступ к консоли и ключам администраторам.
Ведите список серверов и сервисов, где используется wildcard-сертификат.
Проверяйте автоматизированные задачи и backup, чтобы не потерять закрытый ключ при восстановлении.

FAQ — часто задаваемые вопросы

Вопрос: Можно ли использовать один wildcard-сертификат для нескольких серверов Exchange?

Да. Wildcard позволяет использовать один сертификат для всех хостов в домене *.example.com. Экспортируйте PFX и импортируйте на нужные сервера, затем назначьте службы.

Вопрос: Нужно ли назначать сертификат на SMTP вручную?

Да — после импорта назначьте SMTP через Enable-ExchangeCertificate, чтобы транспорт служба использовала новый сертификат для TLS.

Вопрос: Какие преимущества wildcard-сертификата?

Упрощённое управление (один сертификат на несколько поддоменов), экономия при больших установках и простота развёртывания.

Установка на Exchange 2016-2019 wildcard сертификат