[exo]

я использовал 2003.
не в домене - пожалуйста.
я так понял нужно на IIS https настроить?

[Vi-P]

Моя задача только развернуть серт. центр (физически изолированного от домена) и нагенерить сертификаты клиентам для защиты почтового траффика. Я так понимаю что первоначально надо выдать сертификат Exchange серверу. Вроде бы он генерится на основании какого-то запроса от IIS ? Ещё есть такое понятие как список отозванных сертификатов - он дожен где распологаться (имею ввиду обязательно на Exchange сервере или на любом ресурсе доступном ему)?
Кстати комп. отведённый под серт.центр обязательно должен быть наделён ролью контроллера домена?

[exo]

Цитата Vi-P:

Кстати комп. отведённый под серт.центр обязательно должен быть наделён ролью контроллера домена? »

Кто сказал? бред полный, я же написал не в домене - пожалуйста. Любой комп с 2003 виндой.
в инете полно описаний как установить ЦС (центр сертификато) и IIS. к сожалению, я не имею опыта для создания и внедрения сертифиатов в Exchange.
Вобщем устанвливайте IIS и ЦС, генерите сертификаты, выпускайте их, сохраняйте в файл и импортируйте в Почтовый сервер.

[Vi-P]

А можно перенести развёрнутый ЦС с одной машины на другую, т.е. с базой выданных сертификатов, списком отзванных и т.д. ?

[exo]

я не знаю... не пробЫвал... наверное можно.

[Vi-P]

Знать бы наверняка. Просто временно дают комп. и если перенос не возможен тогда будут проблемы....
А база выданных сертификатов должна быть доступна почтовому серверу? Или это сугубо информационное хранилище и в аутентификации оно не участвует?

[amel27]

Цитата Vi-P:

Ещё есть такое понятие как список отозванных сертификатов - он дожен где распологаться (имею ввиду обязательно на Exchange сервере или на любом ресурсе доступном ему)? »

вообще-то CRLs (те самые списки) поддерживает и публикует ЦС, например на Web... поэтому если ЦС изолирован - тягать эти списки придется ручками, а без них Exchange работать не будет: White Paper: Domain Security in Exchange 2007

Цитата Vi-P:

Кстати комп. отведённый под серт.центр обязательно должен быть наделён ролью контроллера домена? »

как раз наоборот - не должен, из соображений безопасности

Цитата Vi-P:

А можно перенести развёрнутый ЦС с одной машины на другую, т.е. с базой выданных сертификатов, списком отзванных и т.д. ? »

Backup/Restore никто не отменял, главное чтобы сохранить имя хоста: How to move a certification authority to another server

[Vi-P]

amel27, спасибо. Небольшое уточнение - я спрашивал про развёртывание ЦС от микрософта (сертификат не от сторонней "конторы"). Ответы остаются в силе?
Ещё подскажите. ЦС у меня всё-таки будет изолированным, т.е. машина физически отрублена от сети. Для генерации сертификата для почтового сервера и клиентских машин мне на этих машинах надо предварительно сформировать какой-то запрос в ЦС и реализовать его на выход в виде файла для передачи в ЦС ? Или всё не так? Для реализации 2-х стороннего шифрования при работе с почтой клиентам надо сразу скидывать и "их" сертификат и сертификат сгенерённый для почтового сервера?

[amel27]

Цитата Vi-P:

я спрашивал про развёртывание ЦС от микрософта (сертификат не от сторонней "конторы"). Ответы остаются в силе? »

принципиальной разницы нет

Цитата Vi-P:

Ещё подскажите »

это уже специфика Exchange, причем зависит от версии, почитайте к примеру статьи:
Сертификаты и Exchange
Как обезопасить почтовый трафик SMTP