Добавление ssl-сертификата в exchange 2010 для миграции в exchange online

Настройка политики адресов электронной почты

Политики адресов электронной почты определяют правила создания электронных адресов для получателей в организации Exchange. Функционал крайне полезен, так как с его помощью транслируется единый формат почтовых алиасов как для существующих, так и для новых пользователей организации.

Чтобы приступить к созданию первой политики, необходимо перейти в раздел (mail flow), далее во вкладку (mail address policies):

Настройка политики адресов электронной почты Exchange

Создаем новую политики нажав “Add” (+). Откроется окно, где необходимо задать название политики и формат адресов электронной почты:

Конфигурирование новой политики адресов Exchange

В качестве шаблонов, возможно использовать один из стандартных, либо подготовить его самостоятельно.

Определение формата адресов электронной почты Exchange

Самостоятельно подготовить шаблон можно используя переменные. Ниже таблица с их возможными значениями:

Переменная	Значение
%d	Краткое имя
%g	Имя
%i	Буква отчества
%m	Псевдоним Exchange
% rXY	Заменить все вхождения x на y
% rXX	Удалить все вхождения x
%s	Фамилия
%ng	Первые n букв имени. Например, %2g первые две буквы с именем не используются.
%ns	Первые n букв фамилии. Например, %2s использует первые две буквы фамилии.

Следующий шаг будет в определении области применения политики. Она состоит из типов объектов Exchange и их расположения.

Выбор типов объектов для применения политики адресов электронной почты ExchangeВыбор области применения политики адресов электронной почты Exchange

После создания, необходимо применение политики:

Примерение политики адресов электронной почты Exchange

Microsoft Exchange Server 2010 SSL Installation Steps.

Before you start the SSL installation process on your MS exchange server, make sure that you have the CSR and Private key with you; or else generate the CSR and private key from here.

Step 2: Add Snap-ins in MMC (Microsoft Management Console)

• In Start menu, Type MMC & click on it or else write Windows+ R, then type MMC and press Enter.
• Console1 screen will appear
• from File Menu click on Add/Remove Snap-ins or else type Ctrl + M
• Select Certificates from Available snap-ins: console and click on Add
• Select a specific computer account and click Finish
• After reaching on Add or Remove Snap-ins dialogue, click on OK

Step 3: Install Intermediate SSL Certificate

• Expand Certificate under the Console Root folder
• Now right click on Intermediate Certificate, hover the mouse on All Tasks and click on Import.
• Press Next button, click on Browse, search for your intermediate Certificate file
• Then press Next, select ‘Place all certificates in the following store’ & press Browse button, now from the list of Certificate stores select Intermediate Certificate Authorities & click
• Certificate Import Wizard will appear, verify your certificate and press Finish.
• The Import was Successful alert message will appear, press OK
• Save the Console and Close MMC.

You have successfully imported the intermediate certificate file.

Step 4: Install the SSL Certificate File

• From Start menu, click on the following path. All Programs > Microsoft Exchange Server 2010 > Exchange Management Console
• From Exchange Management Console, follow Microsoft Exchange On-Premises > Manage Databases
• Click on Server configuration.
• Now from Exchange Certificates window, select your SSL Certificate.
• Click on Complete Pending Request, from the Actions panel located in right corner.
• From Certificate Pending Request window, click on Browse and find the SSL certificate file
• Select your certificate file and press Open.
• Now click on Complete > Finish.
• From Exchange Management Console, select your SSL certificate in Exchange Certificate.
• Assign Services to Certificate from the Actions menu in the right corner.
• Select the Server which you wish to assign service from Assign Services to Certificate window and press Next.
• Now, select the services you wish to assign to your certificate and press Next.
• Click on Assign and then press Finish.

Your SSL Certificate is now installed.

Important Resources

• SSL Certificate Installation Checker
• Microsoft Exchange Server Support Center
• Install SSL Certificates on Microsoft Exchange Server 2007

Guides on How to Move SSL Certificate from One Server to Another Server

• Transfer an SSL Certificate from a Windows Server to an Apache Server
• Transfer an SSL Certificate from an Apache Server to another Apache Server
• Transfer an SSL Certificate from an Apache Server to a Windows Server
• Transfer an SSL Certificate from a Tomcat/Java Server to an Apache Server

Бесплатные сертификаты Let’s Encrypt

Компания Let’s Encrypt стала выдавать бесплатные SSL/TLS сертификаты с конца 2015 года, и если ранее в сертификате можно было указывать только одно имя (что практически неприменимо в случае публикации Exchange), то на сегодняшний день появилась поддержка мультидоменных сертификатов (SAN/UCC), а на 2018 анонсирована поддержка Wildcard SSL-сертификатов для прямых подменов.

Как вы помните, особенность сертификатов от Let’s Encrypt является их бесплатность, однако выдаются такие сертификаты всего на 90 дней (этим обеспечивается ограниченный срок действия скомпрометированного сертификата). Однако, со стороны пользователя это означает, что использование SSL сертификатов Let’s Encrypt имеет смысл только тогда, когда вы можете обеспечить автоматизацию их перевыпуска.

В этой статье я покажу ручной процесс получения установки сертификата, а в следующей статье поговорим об автоматизации.

На первый взгляд процесс создания и обновления сертификата несколько сложен. Однако, если понять суть процедуры, ее повторение не составит проблем. В отличие от типичного CA, Let’s Encrypt не предоставляет веб-интерфейс для управления запросами на получение сертификатов. Вместо этого вам нужно установить клиентское ПО, которое связывается с серверами Let’s Encrypt. В этой статье я буду использовать для работы с Let’s Encrypt модуль Windows PowerShell под названием ACMESharp.

Install SSL Certificate in Exchange 2010

Log on to Exchange 2010. Open Exchange Management Console (EMC). Select Server Configuration on the left-pane. Select the server, MBG-EX01 from the server list.

From the Actions pane on the right, click New Exchange Certificate option.

Type the friendly name to recognize the certificate and click Next.

Under Domain Scope, do not check the option, Enable wildcard certificate. Click Next.

Under Exchange Configuration, you can specify various URLs to be used by various Exchange services. For Outlook Web App and ActiveSync, both internal and external domain name is mail.mustbegeek.com as shown above.

Under Certificate Domains, you will see the domain names that should be on the digital certificate. So now, you need to purchase a SAN/UC certificate to add these two domain names and subject alternative names. Click Next.

Fill in the company info and click Next.

Click New to create the certificate request.

As you can see the certificate request wizard has completed successfully. The wizard will create a .req file. You can open the file with Notepad and copy the texts to purchase the certificate. You can also see the recommended steps 1,2 and 3. Since we have requirement of multiple domain names to be on the certificate, we now need to purchase a SAN/UC certificate from certificate authority and complete the pending certificate request. You can purchase certificate from Certificate Authorities like, DigiCert, Comodo, etc. I just purchased a SAN certificate, now let’s install it.

Go to Exchange server and on the same page, from the Actions pane, Click Complete Pending Request to install the certificate.

Browse the new certificate and click Complete.

The certificate installation has completed successfully. Now, let’s assign services to the certificate.

Select the new certificate and click Assign Services to Certificate from the Actions pane.

Choose the server and click Next.

Check the services, SMTP and IIS and click Next.

Click Assign to assign services to the certificate.

Click Yes to overwrite existing certificate.

The new certificate installation has been completed successfully. In this way, you can install SSL Certificate in Exchange 2010.

The following two tabs change content below.

Bipin is a freelance Network and System Engineer with expertise on Cisco, Juniper, Microsoft, VMware, and other technologies. You can hire him on UpWork. Bipin enjoys writing articles and tutorials related to Network technologies. Some of his certifications are, MCSE:Messaging, JNCIP-SEC, JNCIS-ENT, and others.

Latest posts by Bipin

• Install Exchange 2019 in Windows Server 2019 — November 28, 2020
• Why Backup your Microsoft Office 365 — November 27, 2020
• What’s New in VMware vSphere 7 — September 18, 2020

Сертификаты, создаваемые инфраструктурой открытых ключей Windows

Второй тип сертификатов — сертификаты, создаваемые инфраструктурой открытых ключей Windows. Инфраструктура открытых ключей представляет собой систему цифровых сертификатов, центров сертификации и центров регистрации, которые проверяют допустимость каждого компонента, участвующего в электронной транзакции, с использованием шифрования с открытым ключом. При создании инфраструктуры открытых ключей в организации, использующей службу каталогов Active Directory, необходимо обеспечить инфраструктуру для управления жизненным циклом сертификатов, их обновления, управления отношениями доверия и отзыва сертификатов. Однако для создания сертификатов инфраструктуры открытых ключей Windows и управления ими необходимо выделить дополнительные средства на развертывание серверов и инфраструктуры.

Для развертывания инфраструктуры открытых ключей Windows необходимы службы сертификации, которые можно установить с помощью компонента Установка и удаление программ панели управления. Службы сертификации можно установить на любом сервере в домене.

Если сертификаты выдает центр сертификации, подключенный к домену Windows, можно использовать его для запроса и подписи сертификатов, выдаваемых серверам или компьютерам в сети. Это позволяет использовать инфраструктуру открытых ключей, аналогичную той, которую используют сторонние поставщики сертификатов, но менее дорогую. В отличие от сертификатов других типов такие сертификаты инфраструктуры открытых ключей невозможно развернуть для общего использования. Тем не менее, когда центр сертификации инфраструктуры открытых ключей подписывает сертификат запросившей стороны с помощью закрытого ключа, выполняется проверка запросившей стороны. Открытый ключ такого центра сертификации является частью сертификата. Сервер, имеющий такой сертификат в хранилище доверенных корневых сертификатов, может использовать этот открытый ключ для расшифровки сертификата запросившей стороны и проверки ее подлинности.

Процедура развертывания сертификата, созданного инфраструктурой открытых ключей, мало чем отличается от развертывания самозаверяющего сертификата. При этом также необходимо установить копию доверенного корневого сертификата, полученного от инфраструктуры открытых ключей, в доверенном корневом хранилище сертификатов на компьютерах или мобильных устройствах, которым требуется устанавливать SSL-соединение с Microsoft Exchange.

Инфраструктура открытых ключей Windows позволяет организациям публиковать собственные сертификаты. Клиенты могут запрашивать и получать сертификаты от инфраструктуры открытых ключей Windows во внутренней сети. Инфраструктура открытых ключей Windows может обновлять и отзывать сертификаты.

Правила для оперативной памяти

Здесь мы тоже зависим от топологии NUMA, потому что память и процессор неразрывно связаны. Но в случае с оперативной памятью переподписка не допускается: выделенная память должна быть статична, это входит во все рекомендации VMware и Microsoft. В Hyper-V этот вопрос решен за нас: динамическая память отключена по умолчанию. А вот с VMware все не так однозначно, остановимся на этом подробнее.

Резервирование памяти для ВМ VMware. По умолчанию память VMware ESXi  будет динамической. Это значит, что гипервизор в любой момент может забрать у виртуальной машины неиспользуемую память за счет балунинга. Так повышается риск вывода памяти в SWAP: когда гипервизор заберет себе освободившуюся память, слепок памяти ВМ отправится на жесткий диск, производительность упадет. Раньше мы подробно описывали это здесь.

При этом у VMware есть опция горячего добавления памяти (Memory Hot-Add), но эта настройка отключает механизм vNUMA и все равно потребует перезагрузки. Так что не советую ею пользоваться: мы все равно получим простой и рискуем снизить производительность. 

Для резервирования памяти под виртуальную машину используем Reservation Pools в режиме All Memory Locked. При этом на других хостах кластера должно быть достаточное количество оперативной памяти, чтобы при перебалансировке DRS или при перезапуске ВМ по HA виртуальная машина могла переехать/перезапуститься на новом хосте. Если же мы строим выделенный кластер под Exchange, то вопрос переподписки уже не стоит так остро. 

Сайзинг памяти. При сайзинге виртуальной машины имеет смысл заранее определить предельное значение оперативной памяти. 

Чтобы рассчитать ожидаемый размер загрузки, смотрим такие параметры: 

• количество почтовых ящиков,  

• размеры и количество писем, 

• количество активных баз данных и их реплик, 

• частота резервного копирования и требования к ресурсам для системы резервного копирования,

• количество пользовательских устройств для доступа к почте.

Этот список параметров не достаточен и сильно зависит от конфигурации Microsoft Exchange.

Как отправную точку для расчетов можно использовать Exchange Calculator, если учитывать несколько его особенностей:

• исходит из максимальных лимитов на ВМ,

• не учитывает топологию NUMA на физических серверах,

• закладывает 10% накладных расходов на гипервизор (в реальности эти накладные расходы не превышают пять процентов),

• не учитывает переподписку по CPU, количество ВМ и конфигурацию гипервизоров. 

Теперь обобщим рекомендации для оперативной памяти: 

• Рассчитываем память, исходя из топологии NUMA.

• Используем 100% резервирование памяти под ВМ.

• Не допускаем переподписку. 

• Не используем горячее добавление памяти.

• Используем выделенный кластер для 100% резервирования памяти под сервер. 

• Оставляем минимум 20% свободной памяти на хостах для возможности маневра при балансировке ВМ.

• Если нужно увеличить ресурсы, думаем над горизонтальным расширением DAG.

Создаем сертификат Let’s Encrypt

После того, как вы подтвердите все идентификаторы, которые будут включены в ваш сертификат, вы можете сгенерировать запрос на его выпуск. При создании сертификата указываются все идентификаторы, которые нужно в него включить и его псевдоним.

Чтобы сгенерировать запрос на выпуск сертификата, выполните:

Чтобы передать запрос на выпуск сертификата на сервера Let’s Encrypt, выполните:

После отправки запроса, убедитесь, что поле IssuerSerialNumber пустое. С помощью него вы можете определить, что результаты выполнения вашего запроса не получен. Прежде, чем экспортировать сертификат, нужно обновить данные в локальном хранилище:

Чтобы экспортировать готовый сертификат в pfx файл, содержащий сам сертификат и закрытый ключ, выполните

В том случае, если при выполнении команды Get-ACMECertificate для экспорта сертификата в pfx файл появляется ошибка: Issuer certificate hasn’t been resolved, убедитесь, что вы предварительно выполнили команду Update-ACMECertificate.

Кроме того, убедитесь что в цепочке промежуточных сертификатов на вашем компьютере есть сертификат Let’s Encrypt Authority X3.

В случае необходимости его можно получить тут https://letsencrypt.org/certificates/

После того, как у вас появился pfx файл, вы можете импортировать его и назначить нужным серверам/службам Exchange Server с помощью обычной методики.

Сертификаты в Exchange

При установке Exchange 2016 или Exchange 2019 года на сервере с помощью Exchange. Третий самозаверяется сертификат, созданный и установленный корпорацией Майкрософт Windows для службы управления веб-службы IIS (IIS). Эти сертификаты видны в Центре администрирования Exchange (EAC) и командной консоли Exchange и описаны в таблице ниже.

Имя	Comments
Microsoft Exchange	Этому самозаверяющему сертификату Exchange присущи следующие возможности: Сертификату автоматически доверяют все другие Exchange серверы организации. Это включает в себя все серверы edge Transport, которые подписаны на Exchange организации. Сертификат автоматически включается для всех служб Exchange, кроме единой системы обмена сообщениями, и используется для шифрования внутренней связи между серверами Exchange, службами Exchange на одном компьютере и клиентскими подключениями, которые передаются из служб клиентского доступа на серверы почтовых ящиков. (Примечание: um не доступен Exchange 2019.) Сертификат автоматически активируется для входящих подключений с внешних серверов обмена сообщениями SMTP и исходящих подключений к внешним серверам обмена сообщениями SMTP. Эта конфигурация по умолчанию Exchange предоставлять оппортунистические TLS на всех входящие и исходящие соединения SMTP. Exchange пытается зашифровать сеанс SMTP на внешнем сервере обмена сообщениями, но если внешний сервер не поддерживает шифрование TLS, сеанс не шифруется. Сертификат не обеспечивает шифрованную связь с внутренними или внешними клиентами. Клиенты и серверы не доверяют самозаверяющему сертификату Exchange, так как сертификат не определен в их хранилищах доверенных корневых сертификатов.
Сертификат проверки подлинности Microsoft Exchange Server	Этот Exchange самозаверяемого сертификата используется для проверки подлинности и интеграции от сервера к серверу с помощью OAuth. Дополнительные сведения см. в Exchange Server plan SharePoint и Skype для бизнеса.
WMSVC	Этот самозаверяющий сертификат Windows используется службой веб-управления IIS для удаленного управления веб-сервером и связанными с ним веб-сайтами и приложениями. Если вы удалите этот сертификат и не выберете действительный сертификат, служба веб-управления не запустится. Наличие службы в этом состоянии может помешать установке Exchange обновлений или Exchange с сервера. Инструкции по исправлению этой проблемы см. в выпуске Event ID 1007 — служба веб-управления IIS проверки подлинности.

Свойства этих самозаверяющих сертификатов описаны в разделе .

Ниже описано, что нужно учитывать при управлении сертификатами в Exchange.

• Для шифрования сетевого трафика между серверами Exchange и службами в вашей организации не нужно заменять самозаверяющий сертификат Microsoft Exchange.

• Дополнительные сертификаты необходимы для шифрования подключений к серверам Exchange с помощью внутренних и внешних клиентов.

• Дополнительные сертификаты необходимы для принудительного шифрования SMTP-подключений между серверами Exchange и внешними серверами обмена сообщениями.

Следующие элементы планирования и развертывания для Exchange Server важны для требований к сертификату:

• Балансировка нагрузки. Планируете ли вы завершить зашифрованный канал на балансировке нагрузки или обратном прокси-сервере, использовать балансиры нагрузки Layer 4 или Layer 7, а также использовать сродство сеансов или отсутствие сродства сеанса? Дополнительные сведения см. в см. в Exchange 2016 г.

• Планирование пространства имен. Какие версии Exchange присутствуют, используете ли вы связанную или неограниченную модель пространства имен и используете DNS с разделенным мозгом (настройка различных IP-адресов для одного и того же хоста на основе внутреннего и внешнего доступа)? Дополнительные сведения см. в Exchange Namespace Planning in 2016.

• Подключение клиентов: какие службы будут использовать ваши клиенты (веб-службы, POP, IMAP и т.д.) и какие версии Exchange вовлечены? Дополнительную информацию см. в следующих статьях:

Подготовка схемы Active Directory

Если в вашей инфраструктуре еще не был развернут Microrosft Exchange, то необходимо подготовить схему Active Directory для его установки. В процессе подготовки будут добавлены классы объектов и расширены свойства текущих классов для того, чтобы они могли содержать необходимые дополнительные сведения в части хранения почтовых атрибутов.

Вообще, можно не выносить процедуру обновления схемы в отдельный предварительный шаг, т.к. мастер установки Exchange может это сделать за нас автоматически. Однако, для подготовки схемы Active Directory нужны дополнительные разрешения (об этом чуть ниже). Также мы можем в более интерактивном режиме наблюдать за процессом расширения схемы Active Directory. Еще один аргумент в копилку отдельного шага – это отслеживание статуса репликации изменений на все контроллеры домена. Например, у вас три контроллера домена. Мы выполняем процедуру расширения схемы, ждем пока изменения отреплицируются на оставшиеся контроллеры (если у вас их несколько) и только потом переходим к непосредственной установки сервера Microsoft Exchange.

Учетная записи, от имени которой будет выполняться расширение схемы Active Directory должна быть включена в следующие группы безопасности домена:

1. Schema Admins.
2. Enterprise Admins.
3. Domain Admins.

Шаг 1. Расширение схемы Active Directory

Самый первый шаг – это расширение схемы.

Переходим с директорию с дистрибутивом Exchange 2019 и выполняем команду (для Exchnage 2019 ниже CU11):

Командлет для Exchange 2019 CU11 или выше.

Запуститься процесс расширения схемы Active Directory:

Дожидаемся окончания процесса расширения схемы. Об успешном процессе расширения схемы будет свидетельствовать соответствующее заключение мастера:

Теперь необходимо запустить процесс репликации изменений в Active Directory:

Прежде чем переходить к следующему шагу необходимо дождаться окончания процесса репликации изменений в Active Directory на все контроллеры домена.

Шаг 2. Подготовка Active Directory

Теперь необходимо, чтобы мастер подготовки Active Directory создал необходимые объекты.

Выполните следующую команду в директории с дистрибутивом Exchange (для Exchnage 2019 ниже CU11):

Командлет для Exchange 2019 CU11 или выше.

В параметре OrganizationName укажите имя организации Exchange. Имя может быть произвольным.

Дожидаемся окончания процесса подготовки Active Directory.

Теперь если посмотреть в нашу Active Directory, то мы увидим, что мастер создал необходимые группы безопасности:

Далее необходимо запустить процесс репликации изменений в Active Directory:

Прежде чем переходить к следующему шагу необходимо дождаться окончания процесса репликации изменений в Active Directory на все контроллеры домена.

Шаг 3. Подготовка все остальных доменов Active Directory

Если у вас всего один домен, то этот шаг можно пропустить, т.к. параметр PrepareAD в предыдущем шаге уже выполнил всю необходимую подготовку.

Если же у вас несколько доменов, то вы можете:

1. Подготовить сразу все оставшиеся домены.
2. Подготовить домены каждый в отдельности.

Для того, чтобы подготовить сразу все домены выполните следующую команду в директории с дистрибутивом Exchange (для Exchnage 2019 ниже CU11):

Командлет для Exchange 2019 CU11 или выше.

Чтобы подготовить определенный домен выполните следующую команду в директории с дистрибутивом Exchange (для Exchnage 2019 ниже CU11):

Командлет для Exchange 2019 CU11 или выше.

Только в параметре PrepareDomain укажите FQDN имя вашего домена.

Проверка версии схемы

Для того, чтобы проверить текущую версию конфигурации схемы для Microsoft Exchange мы можем использовать, например, оснастку ADSI Edit.

Подключимся к контексту конфигурации и в контекстном меню нашей установки выберем пункт “Properties“. В списке атрибутов найдите атрибут objectVerison:

objectVerison 16757 – это Exchange Server 2019 CU9. Именно его мы и устанавливали. Полный перечень .

Настройка внутренних и внешних URL адресов виртуальных директорий

В Exchange 2010 у нас присутствуют следующие виртуальные директории:

1. ActiveSync Virtual Directory. Виртуальная директория для протокола ActiveSync. В осносном это подключение мобильных устройств.
2. Autodiscover Virtual Directory. Предназначена для сервиса автоматического конфигурирования внутренних клиентов.
3. Ecp Virtual Directory. Виртуальная директория веб-консоли управления.
4. Oab Virtual Directory. Предназначения для хранения файлов оффлайн адресной книги.
5. Owa Virtual Directory. Виртуальная директории веб версии Outlook.
6. PowerShell Virtual Directory. Виртуальная директория веб-версии PowerShell.
7. WebServices Virtual Directory. Виртуальная директория веб-сервисов Exchange.

У каждой из виртуальных директория (за исключением виртуальной службы автообнаружения) в настройках необходимо указать URL адрес, который будут использовать внутренние клиенты и URL адрес, который будут использовать внешние клиенты. Этот URL адрес может быть одинаковый как для внутренних клиентов, так и для внешних клиентов. В нашем случае будет именно так.

В дальнейшем для мы будем использовать URL вида https://mail.itproblog.ru.

Для имени mail.itproblog.ru мы чуть ниже настроим отдельный виртуальных сервис на нашем балансировщике сетевой нагрузки, а пока же зарегистрируем запись типа A на нашем DNS сервере:

Первым шагом скорректируем параметры URL адреса сервера автообнаружения:

Выполним настройку виртуальной директории для ActiveSync:

Настроим виртуальную директорию веб консоли управления (ECP):

Пропишем наши URL адреса на виртуальной директории оффлайн адресной книги:

Укажем необходимые нам URL адреса на виртуальаной директории Outlook Web Access:

Скорректируем параметры URL адресов для виртуальной директории PowerShell:

И последним шагом скорректируем адрес виртуальной директории веб сервисов Exchange:

How to install an SSL Certificate on Exchange 2010?

Installing an SSL certificate on Exchange 2010 requires three essential actions: certificate snap-in creation, intermediate certificate installation, and, finally, primary certificate installation. Let’s take it one step at a time:

Step 1: Certificate Snap-in creation

1. Click Start, open the Run window and then type MMC (Microsoft Management Console). Press OK
2. In the console, go to File and select Add/Remove Snap-in
3. Next, from the Add/Remove Snap-in box, select Certificates and click on Add
4. Now, select Computer Account, then Next
5. Choose Local Computer and press Finish
6. Exit the Add Standalone Snap-in window
7. Click OK and close the Add Standalone Snap-in window.

Step 2: Intermediate certificate installation

1. In the console, on the left menu, right-click on Intermediate Certificate Authorities
2. Select All Tasks, and then Import
3. In the Certificate Import Window, click Next
4. Click Browse to locate the intermediate certificate file on your machine, and click Next
5. Now, choose Place all certificates in the following store and select Intermediate Certification Authorities from the Select Certificate Store window. Click OK
6. On the following page, click Next
7. Click Finish, then OK, and close the MMC console. Click NO to remove the MMC console settings

Step 3: Primary certificate installation

1. Click on Start, and then go to All Programs > Microsoft Exchange Server 2010 > Exchange Management Console.
2. In the console, on the left menu, select Microsoft Exchange On-Premises > Manage Databases, and click on Server Configuration
3. From the Exchange Certificates, choose your primary SSL certificate, and then from the right-side Actions menu, click Complete Pending Request
4. In the next window, click Browse to indicate the path of your certificate file and press Open
5. Back in the Complete Pending Request window, hit CompleteImportant: If the following error appears “The source data is corrupted or not properly Base64 encoded,” Verify the Self-Signed field. If it is set as True, press F5 to refresh the console. If it still says True, create a new CSR and then reissue the certificate.
6. Click Finish to return to MMC. Here, from the Action menu, select Assign Services to Certificate
7. Pick the server you want to assign services to, and then press Next
8. Now, select the services you want to secure, and then hit Next
9. Click Assign > Finish 

Well done! You have finished the SSL installation on Microsoft Exchange Server 2010.