Использование ECC сертификатов в Exchange
Начиная с Exchange Server November 2024 Security Update (SU), на серверах Exchange можно использовать ECC-сертификаты. О генерации таких сертификатов с помощью внутреннего PKI - можно почитать в данном материале:
Более подробно об этом можно прочитать по ссылке MS:
Исключения для данного сценария описаны там же и, в основном, касаются ADFS:
“The following scenarios do not currently support the use of ECC certificates. We are working on an update to support these scenarios in the future:
- Unordered List ItemThe Federation Trust certificate must be an RSA certificate
- Unordered List ItemThe Exchange Server OAuth certificate must be an RSA certificate
- Unordered List ItemECC certificates can't be used when Use AD FS claims-based authentication is configured”
Однако, без установки специального ключа в реестре - ECC-сертификат установить не получится. После установки сертификата - командлет Get-ExchangeCertificate просто не покажет его в списке.
Включить поддержку обязательно необходимо с помощью ключа в реестре. Добавить его можно так:
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics" -Name "EnableEccCertificateSupport" -Value 1 -Type String
Изменение конфигурации не требует рестарта, но может занять какое-то время. После отработки настройки - сертификат можно назначать службам Exchange. О назначении можно почитать здесь: