SBS 2011 a obnova Self-Issued SSL a CA certifikátu pro webový přístup

Ačkoliv je Windows Small Business Server 2011 (SBS2011) venku už řadu let, je stále velmi používaným systémem zvláště v malých společnostech a pravděpodobně ještě dlouho bude. Funguje víceméně bez zásahů, ale třeba platnosti certifikátů je například si trochu ohlídat.

Spousta adminů nikdy neměla tenhle systém „vše v jednom“ ráda, ale pro menší společnosti to bylo ideální řešení s minimem nároků na správu. Obchází totiž správu přes klasické konzole a pro téměř vše má konzoli jedinou a spousty wizardů. Vždycky platilo a tloukli mi to do hlavy na školeních už od dob SBS2003 (starší SBS jsem nezažil), že na SBSku je nutné vše co jde, konfigurovat přes průvodce. Pokud se průvodce obejde, výsledek nemusí fungovat tak, jak bylo požadováno. Když se tohle jednoduché pravidlo dodrží, vše šlape krásně spolehlivě. Viz můj tweet. I když to opravdu není optimální, aby takto dlouho běžel systém neaktualizován, ale o jeho spolehlivosti to něco napovídá.

Prodej SBS2011 už byl ukončen a nemá svého přímého nástupce. Microsoft za jeho nástupce považuje přechod na cloudové služby (Office 365, Exchange Online). Takže stávající řešení firem na SBS2011 poběží ještě dlouho, dokud jim to hardware dovolí nebo dokud nebude ukončena podpora ze strany Microsoftu. To se počítá s rokem 2020. Co bude v té době, nedokáže teď nikdo říci, třeba bude opět nějaké SBS, ale nevypadá to. Trend tomu nenapovídá. Nicméně pokud malá firma nechce přejít do cloudu a nevyplatí se jí investovat do velkého Microsoft řešení, poslal ji Microsoft ke konkurenci. Třeba Kerio a podobné produkty. To jsem ale jako obvykle trochu odbočil od tématu.

Takže zpět k SBS2011. Zpravidla ten, kdo provozoval SBS2003 nebo SBS2008, tak stihl SBS2011 zakoupit a přemigrovat. A protože je již rok 2014, od instalace SBSka uběhl nějaký čas a tak je třeba se mrknout, kdypak končí certifikáty pro webový přístup.

Takže přes SBS konzoli se mrkneme, kdy Self-Issued certifikát pro webový přístup má expiraci. V záložce Network > Connectivity si zobrazit Web Server Certificate. Pokud se jeho expirace blíží, je dobré platnost prodloužit a to přes, jak jinak, než přes průvodce – Set up your Internet address. Nenechat se zmást, opravdu se nic jiného nezmění, než platnost certifikátu o dva roky. Tedy za předpokladu, že se zadá stejná doména a prefix, který je aktuálně v SBSku používán. Postup dle obrázků.

Jak čas plyne, bude třeba se připravit i na expiraci hlavního certifikátu serveru – CA (root Web certificate). Ten je od instalace serveru platný 5 let. Pokud se má jeho obnova udělat co nejjednodušeji, musí se ohlídat jeho platnost a v období jednoho měsíce před jeho expirací provést v SBS konzoli Fix my network. Průvodce zjistí problémy a nabídne možnost je opravit. Zvolí se oprava certifikátu a během okamžiku je CA certifikát nový. Včetně nově vytvořeného instalačního balíčku, který je třeba rozdistribuovat mezi uživatele, kteří používají vzdálený přístup k serveru.

Vzhledem k životnosti SBS serveru předpokládám, že obnova CA certifikátu bude potřeba na serveru udělat pravděpodobně jen jednou.