继上一篇"Exchange 2010部署配置详细指南",本篇介绍Exchange 2010的证书配置过程。
默认情况下,Exchange 会安装默认的自签名证书,以便对所有网络通信进行加密。 加密所有网络通信要求每台 Exchange 服务器都有一个其可以使用的 X.509 证书。 我们应该用客户端自动信任的证书替换此自签名证书。
“自签名”表示仅由 Exchange 服务器本身创建和签署证书。 由于该证书不是由通常受信任的 CA 所创建和签署的,默认情况下,只有Exchange 组织中的其他 Exchange 服务器会自动信任此证书,但是客户端(如 Web 浏览器、Outlook 客户端、移动电话以及除外部电子邮件服务器之外的其他电子邮件客户端)都不会自动信任它。 因此,我们需要搭建自己的CA来颁发证书,让客户端自动信任证书替换自签名证书。
所以,首先要在域中有CA服务器(这里不介绍CA服务器的安装)。
我的环境中,DC(pdc1.fengdian.info)承担CA服务器的角色。角色已经安装好,所以我直接配置Exchange证书就好了。
打开"Exchange管理控制台",导航至【服务器配置】,操作窗格中选择"新建Exchange证书":
设置证书名称:
设置证书所用域:如果勾选"启用通配符证书",并输入根域;我们不勾选(可根据个人环境选择是否启用),直接【下一步】
设置好Exchange配置和域信息,不符合要求的需要手动修改:
设置证书作用的域列表:
设置证书描述信息, 【浏览】选择证书请求文件保存的位置,需要记住这个位置,下面还会用到这个文件,如图示【下一步】
证书摘要,无误的话点击【新建】
证书成功创建,并给出接下来要进行的操作步骤,如图:
下载证书:
使用浏览器,地址栏中输入http://CA的ip/certsrv, 输入域管理员凭证,如下
点击"申请证书"进行证书的申请:
证书类型选择"高级申请证书"
证书类别:选择"使用base64编码的CMC或PKCS#10文件提交一个证书申请"
打开证书申请提交界面:
打开刚才保存的证书申请请求文件fengdian.req,复制图中蓝色区域的内容(除去首行和尾行):
粘贴到下图中的"保存的申请"空白框中,证书模板选择"Web服务器"【提交】完成提交请求.
可以看到证书已经通过申请,CA已经颁发。选择"下载证书" 基于Base64编码;
为证书设置一个名称并设置保存路径,待会需要这个证书:
保存后,回到Exchange管理控制台。
右击新建的证书,选择"完成搁置请求",如图
【浏览】导航至刚才保存的证书路径下,并选择证书
【完成】来执行完成搁置请求,成功完成,如图
下面就开始为证书分配服务了,具体操作:
EMC->服务器配置->Exchange证书,再次右击证书名称,选择"为证书分配服务"
选择服务器,默认即可
选择证书要分配到哪些服务,这里我选择了所有服务:
服务分配摘要查看,点击【分配】执行证书服务分配
我这里出现错误,错误提示如下,原因是"统一消息角色设置为仅在TCP模式下运行",需要将模式更改为TLS或者Dual.
下面开始更改"统一消息服务器"运行模式:
EMC,导航至【统一消息】,选中服务器,右击"属性",如下图:
切换至"UM设置"选项卡,启动模式由"TCP"更改为"二者都有":
模式更改提示需要重启"Microsoft 信息存储服务":
【管理工具】服务管理控制台中,重启Exchange信息存储服务,
服务重启后,回到刚才为证书分配服务的界面,返回上一步,再次分配,如图示
提示"是否覆盖现有默认的SMTP证书",选择"是";
为统一消息启用指纹证书吗? 选择"是";
证书服务分配完成:
然后就可以删除自签名证书了。
测试Exchange证书有效性:
未配置证书前:
域内用户打开OWA,如图
配置证书后,直接跳转到登陆凭证界面:
同时,域内outlook 2007客户端也不会再显示证书错误。
证书配置就到此完成了,到期前选择续约证书就可以了.
