微软Azure云之企业Exchange 2016部署11—证书配置

Exchange邮件系统中不仅Outlook Anywhere和Exchange ActiveSync，要求在服务器上配置证书，而且没有配置证书时访问OWA等都会有安全警告。

 

证书企业一般可以购买公网证书，这样在没有加入域的计算机不导入AD的root证书，也可以正常使用。购买公网证书一般需要按年付费，当然，不购买公网证书我们也可以内网自己来颁布内网证书。

 

如果购买了公网证书，一般带有私钥的证书为pfx格式。

我们选择导入证书

输入证书路径及密码

选择导入服务器，当然两台邮件服务器我们都选择

最后导入成功，公网证书一般都不显示友好名称，这里空的就是啦

我们点开属性，可以看到证书详细情况

选择服务页面来指定分配证书的服务

 

1. 申请公网证书

一般可以去各商业网站去购买公网证书。如果想自己的实验环境，或者要求不高的环境下，可以到以下地址来申请免费的多域名证书。

http://freessl.wosign.com/freessl

证书申请时，对邮箱来说mail和autodiscover前缀是必须的，最好还加上每台邮箱服务器的FQDN域名。

申请后可以从验证邮箱取回证书

输入证书保护密码

最后取回证书

 

2. 制作内网证书

我们也可以自己制作内网证书

首先需要安装证书服务，一般可以到DC上安装

选择服务

确认

证书服务安装完毕后，进行配置

制定CA类型

根CA

创建新私钥

制定加密方式

定义CA名称

定义证书有效时间

指定路径

确认无误后进行配置

 

证书服务安装完毕后，我们可以到Exchange中申请证书

定义证书友好名称

我们使用多域名证书，不适用通配符证书

选择证书存储服务器

新建证书

这里我们顺便把几台邮件服务器都加上

输入证书信息

定义证书申请存放路径

 

现在我们打开证书申请网页，选择申请证书

如下选择

最后输入申请编码，模板选择WEB服务器

最后可以下载证书

回到ECP证书页面

下载完毕后，我们完成之前的证书搁置请求

如果域策略还没更新，会显示证书无效，可以稍等段时间

或者直接刷新组策略

最后分配邮箱服务

可以确认状态及分配的服务

接下来导出这个证书，给其他服务器使用

导入后再次导入

选择之前没有导入证书的服务器

导入后再次指定证书使用的服务，这样内网证书就配置完毕了。