Продление сертификата СА для 2003
 

Друзья, доброго всем дня!
нарисовалась проблема, пока был в отпуске скоропостижно скончался сертификат СА, для подключения к эксчейнджу
я его продлил в оснастке certsrv.msc с помощью Renew CA certificate
вроде он обновился, точнее продлился.
собственно вопрос, почему же у пользователей кто из вне ходит, не из корп. сети, вылетает ошибка сертификата.
как это побороть?
более того, ошибка все же вылетает и у тех кто в корп. сети конектятся к эксченджу с оутлуком, ошибка такая:
"обнаружена ошибка сертификата безопасности прокси-сервера. Outlook не может выполнить подключение к прокси серверу post.xxx.ru (код ошибки 20)"

если нажать ОК, то в корп. сети оутлук работает, а вне ее нет. сертификат открываю, продленный, там вроде все ок, т.е. дата продлилась до 2017 года.
может теперь надо все пользователям новый сертификат установить у себя в довернное хранилище?

Очень буду вам признателен за советы.

Кстати, доступ по http к ящикам извне работает без проблем.


и вопрос в продолжении, я несколько раз продлили сертификат, и теперь их в окошке в оснастки почему то аж 4, как удалить лишнии от туда, может в этом проблема.
Скрин прилагаю.

akaAmigos, вы немного не тот сертификат продлили :) Вы продлили сертификат Certification Authority, а ругались клиенты скорее всего на сертификат, установленный на Web Server. Теперь вам надо:
1. Перевыпустить сертификат на веб-сервер (из оснастки IIS Manager почтового сервера, точнее того, кто у вас front-end). После перевыпуска нужно будет перезапустить сервер IIS.
2. Установить на внешние клиенты в хранилище Trusted Root CA сертификат за номером 4 от вашего СА. Т.е. последний.
В любом случае, даже если сертификат веб-сервера жив, при перевыпуске сертификата СА, его обязательно надо импортировать на клиентские машины. А те, кто в домене, видят сменившийся корневой сертификат в АД (если у вас Enterprise Root CA, конечно)

так так! спасибо за столь оперативный ответ.
только вот я не очень понял.
0. из-за того что я продлил "не тот сертификат" проблем не будет? ну и к тому же он действительно закончился, из-за него не запускалась служба сертификатов на сервере с эксченджем
1. перевыпустить сертификат на исе, где бы там это сделать )?
2. разве он отвечает за то что оутлук из вне не хочет заходить на сервер? ведь по вебу все работает.
3. мне надо будет из моего 4 сертификата экспортировать его в фалик xxx.cer и установить этот новый сертификат потом у клиентов, так?

а как узнать наверняка?

т.е. после продления сертификата СА, который за номером 4 у меня, нужно перевыпустить сертификат для исы, перезапустить ее, и установить всем внешним клиентам сертификат под номером 4.
верно?

и такой еще вопрос:

почему после продления сертификата, внутри доменные машинки, т.е. в офисе все равно пишут ошибку при открытии оутлука, ведь они то то на ису не ссылаются.
у них правда установлен был старый сертификат СА, который закончился.
им тоже надо всем перестановить сертификат СА за номером 4?

сейчас посетила гениальная идея))))
верно ли я понимаю, что мне просто нужно установить на сервер с исой сертификат под номером 4, и перезапустить ису?

Вроде все заработало.
Обновил сертификаты.

только все не понял как на IIS его обновить.
почему то то что в IIS сертификат, он всего на год продлился, а основной до 2017 года.
в чем причина?

скрин

скрин правильный

Сроки жизни сертификатов задаются при создании CА. Это дефолтные сроки - 5 лет корневой и 1 год - серификат шаблона Web Server.

понятно
спасибо!)