默认情况下,Exchange 会安装默认的自签名证书,以便对所有网络通信进行加密。 加密所有网络通信要求每台 Exchange 服务器都有一个其可以使用的 X.509 证书。 我们应该用客户端自动信任的证书替换此自签名证书。
“自签名”表示仅由 Exchange 服务器本身创建和签署证书。 由于该证书不是由通常受信任的 CA 所创建和签署的,默认情况下,只有Exchange 组织中的其他 Exchange 服务器会自动信任此证书,但是客户端(如 Web 浏览器、Outlook 客户端、移动电话以及除外部电子邮件服务器之外的其他电子邮件客户端)都不会自动信任它。 因此,我们需要搭建自己的CA来颁发证书,让客户端自动信任证书替换自签名证书。
所以,首先要在域中有CA服务器(这里不介绍CA服务器的安装)。
我的环境中,DC(pdc1.fengdian.info)承担CA服务器的角色。角色已经安装好,所以我直接配置Exchange证书就好了。
打开"Exchange管理控制台",导航至【服务器配置】,操作窗格中选择"新建Exchange证书":
<a href="http://blog.51cto.com/attachment/201312/030147352.png" target="_blank"></a>
设置证书名称:
<a href="http://blog.51cto.com/attachment/201312/104004924.png" target="_blank"></a>
设置证书所用域:如果勾选"启用通配符证书",并输入根域;我们不勾选(可根据个人环境选择是否启用),直接【下一步】
<a href="http://blog.51cto.com/attachment/201312/104105464.png" target="_blank"></a>
设置好Exchange配置和域信息,不符合要求的需要手动修改:
<a href="http://blog.51cto.com/attachment/201312/104135866.png" target="_blank"></a>
设置证书作用的域列表:
<a href="http://blog.51cto.com/attachment/201312/104302643.png" target="_blank"></a>
设置证书描述信息, 【浏览】选择证书请求文件保存的位置,需要记住这个位置,下面还会用到这个文件,如图示【下一步】
<a href="http://blog.51cto.com/attachment/201312/104357317.png" target="_blank"></a>
证书摘要,无误的话点击【新建】
<a href="http://blog.51cto.com/attachment/201312/104438200.png" target="_blank"></a>
证书成功创建,并给出接下来要进行的操作步骤,如图:
<a href="http://blog.51cto.com/attachment/201312/104500240.png" target="_blank"></a>
下载证书:
<a href="http://blog.51cto.com/attachment/201312/032354521.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032356648.png" target="_blank"></a>
点击"申请证书"进行证书的申请:
<a href="http://blog.51cto.com/attachment/201312/032358148.png" target="_blank"></a>
证书类型选择"高级申请证书"
证书类别:选择"使用base64编码的CMC或PKCS#10文件提交一个证书申请"
<a href="http://blog.51cto.com/attachment/201312/032708102.png" target="_blank"></a>
打开证书申请提交界面:
打开刚才保存的证书申请请求文件fengdian.req,复制图中蓝色区域的内容(除去首行和尾行):
<a href="http://blog.51cto.com/attachment/201312/104611166.png" target="_blank"></a>
粘贴到下图中的"保存的申请"空白框中,证书模板选择"Web服务器"【提交】完成提交请求.
<a href="http://blog.51cto.com/attachment/201312/104654385.png" target="_blank"></a>
可以看到证书已经通过申请,CA已经颁发。选择"下载证书" 基于Base64编码;
<a href="http://blog.51cto.com/attachment/201312/104927741.png" target="_blank"></a>
为证书设置一个名称并设置保存路径,待会需要这个证书:
<a href="http://blog.51cto.com/attachment/201312/032713189.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/104952400.png" target="_blank"></a>
保存后,回到Exchange管理控制台。
右击新建的证书,选择"完成搁置请求",如图
<a href="http://blog.51cto.com/attachment/201312/105027101.png" target="_blank"></a>
【浏览】导航至刚才保存的证书路径下,并选择证书
<a href="http://blog.51cto.com/attachment/201312/032706676.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032710571.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032715830.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032717197.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/105127979.png" target="_blank"></a>
【完成】来执行完成搁置请求,成功完成,如图
<a href="http://blog.51cto.com/attachment/201312/105144424.png" target="_blank"></a>
下面就开始为证书分配服务了,具体操作:
EMC->服务器配置->Exchange证书,再次右击证书名称,选择"为证书分配服务"
<a href="http://blog.51cto.com/attachment/201312/034537849.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/105209376.png" target="_blank"></a>
选择服务器,默认即可
<a href="http://blog.51cto.com/attachment/201312/105301575.png" target="_blank"></a>
选择证书要分配到哪些服务,这里我选择了所有服务:
<a href="http://blog.51cto.com/attachment/201312/034543717.png" target="_blank"></a>
服务分配摘要查看,点击【分配】执行证书服务分配
<a href="http://blog.51cto.com/attachment/201312/105745285.png" target="_blank"></a>
我这里出现错误,错误提示如下,原因是"统一消息角色设置为仅在TCP模式下运行",需要将模式更改为TLS或者Dual.
<a href="http://blog.51cto.com/attachment/201312/034548843.png" target="_blank"></a>
下面开始更改"统一消息服务器"运行模式:
EMC,导航至【统一消息】,选中服务器,右击"属性",如下图:
<a href="http://blog.51cto.com/attachment/201312/034550942.png" target="_blank"></a>
切换至"UM设置"选项卡,启动模式由"TCP"更改为"二者都有":
<a href="http://blog.51cto.com/attachment/201312/034552678.png" target="_blank"></a>
模式更改提示需要重启"Microsoft 信息存储服务":
<a href="http://blog.51cto.com/attachment/201312/034554640.png" target="_blank"></a>
【管理工具】服务管理控制台中,重启Exchange信息存储服务,
<a href="http://blog.51cto.com/attachment/201312/035657489.png" target="_blank"></a>
服务重启后,回到刚才为证书分配服务的界面,返回上一步,再次分配,如图示
提示"是否覆盖现有默认的SMTP证书",选择"是";
<a href="http://blog.51cto.com/attachment/201312/105822194.png" target="_blank"></a>
为统一消息启用指纹证书吗? 选择"是";
<a href="http://blog.51cto.com/attachment/201312/105841488.png" target="_blank"></a>
证书服务分配完成:
<a href="http://blog.51cto.com/attachment/201312/105857155.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/110157907.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/112616606.png" target="_blank"></a>
然后就可以删除自签名证书了。
测试Exchange证书有效性:
未配置证书前:
域内用户打开OWA,如图
<a href="http://blog.51cto.com/attachment/201312/110507774.png" target="_blank"></a>
配置证书后,直接跳转到登陆凭证界面:
<a href="http://blog.51cto.com/attachment/201312/110713850.png" target="_blank"></a>
同时,域内outlook 2007客户端也不会再显示证书错误。
证书配置就到此完成了,到期前选择续约证书就可以了.
本文转自marbury 51CTO博客,原文链接:http://blog.51cto.com/magic3/1340739,如需转载请自行联系原作者
![数据库设计理论及应用(4)——概念结构设计1.概念模型 2.销售子系统的分E-R图 3.视图的集成 4.设计基本E-R图[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)