Источники:
technet.microsoft.com
dusk1911.wordpress.com
secadmins.com
Изначально все просто:
1. Создать запрос на сертификат:
1.1. Из ГУИ консоли Exchange, правой кнопкой щелкаем по истекшему сертификату и выбираем продлить (renew). В случае с сертификатом который удостоверяется центром (а у меня именно такой случай) предлагается сохранить файл запроса .req
1.2. Так же можно выполнить данную процедуру из консоли:
Get- ExchangeCertificate -Thumbprint 'AD19B141228C7CF98B5F78DCED978B7C45E15434' | New-ExchangeCertificate -GenerateRequest -PrivateKeyExportable $true
2. Если этот запрос сразу обработать в консоли центра Сертификации, то мы скорее всего получим такую ошибку:
Denied By Policy Module 0×80094801, The Request does not contain a
certificate template extension or the certificate template request
attribute.
2.1. Для исправления следует добавить в файл запроса необходимый шаблон, заодно подтвердив его в CA
certreq -submit -attrib "CertificateTemplate:WebServer" <Cert Request.req>
2.2. Так же это можно сделать через вебинтерфейс CA если он установлен:
http://CA_SERVER/CertSrv
Скопировав туда содержимое файла запроса
3. Если в базе данных CA от эксперементов осталось много лишних записей, их можно удалить:
3.1. Получаем список Запросов с ошибками:
certutil -silent -view -out "RequestID" LogFail
3.2. Из полученных строк вида "Issued Request ID: 0xb (11)" нам нужны ID вида "0xb"
удаляем их следующей командой:
certutil.exe -deleterow "0xb"
Все.
