Office Web Apps所需证书的申请分配部署详解

最近看到博客中不少朋友都在说Office Web Apps证书相关的问题，为此在这里我主要的来跟大家一起交流下Office Web Apps证书的相关内容。从我们目前的部署来说，想必所有朋友都知道Office Web Apps服务器需要证书进行加密，从而实现Lync内部到内部、内部到外部的WAC加密。这里所说的WAC主要指我们Office Web Apps提供的PowerPoint演示功能。

按理说这应该是非常简单的东西，但有一些情况需要和大家交流一下。比如我们的Office Web Apps服务器需要什么证书？是IIS向域中CA申请一张证书？还是使用边缘服务器的证书？还是直接使用公网CA颁发的证书？在前面部署Office Web Apps服务器这一篇文章中我并没有详细的去跟大家分享Office Web Apps服务器到底需要什么证书，仅仅是几句话带过。这是因为Office Web Apps并没有哪一种证书的说法，而是任意证书均可，但无论什么证书都需要满足以下：

1. 1、证书中包含了OWA的使用者名称SN或备选使用者名称SAN；
2. 2、可以是单独的证书也可以是边缘服务器Internet接口所使用的证书，需要在SAN中包含OWA服务器的内外部地址；
3. 3、可以是公网也可以是域内CA颁发的证书；
4. 4、证书需要有私钥；
5. 5、证书类型必须是服务器身份验证；
6. 6、证书模板必须是以Web服务器为基础；
7. 7、证书需要拥有唯一的友好名称；
8. 8、可以包含吊销列表CRL信息，也可以不包含；
9. 9、若包含CRL信息，则CRL必须至少有一条可被客户端访问；
10. 10、更换证书后需要使用New-OfficeWebAppFarm命令重建OWAFarm；
11. 11、最好不要手动通过IIS指定OWA证书。

在了解以上的要求后，我们就可以通过各种方式来创建OWA所需要的证书了，这里主要的途径还是通过向域中的CA申请、颁发证书。然而申请的话我建议大家通过Lync边缘服务器中的Lync Server部署向导中的步骤三，因为这里我们可以在申请边缘服务器Internet接口证书时顺便就申请OWA的证书了，在后面就只需要导出带私钥的边缘证书安装在OWA服务器上即可。

在这里无论我们现在的边缘公共Internet证书是已经分配好的还是没有，我们都重新进行请求。

这里我只做一些关键步骤的截图和说明，其他的大家可以参考下之前的证书申请。

http://reinember.blog.51cto.com/2919431/827418

在名称和安全设置页面，确保“将证书的私钥标记为可导出”选项是选中的。

在配置其他使用者替代名称页面至少保证有下图中的两个名称，即OWA的内外部访问地址和Lync自动发现。如果有TMG且TMG的外部名称不一样，那么最好也加上TMG的FQDN和名称；如果OWA的内外部地址不同，必须区分内外部地址分别添加在这里，比如外部是Office.contoso.com，内部是owa.contoso.com，需要两个都添加。

完成后打开req文件复制全文准备去内部CA申请证书。需要注意证书的申请、颁发、导入申请服务器这三个步骤均是相对应，且是一次性的。所以千万要对应，比如在哪个服务器上申请就在哪个服务器上导入，即便我们的证书是专门给OWA申请，也必须先导入边缘，再从边缘导出带私钥的证书到OWA上。

进行证书申请，证书模板选择Web服务器即可。

下载证书即可，如果边缘服务器没有CA根证书，那就下载证书链，证书链包含了CA根证书和申请的证书。

然后打开MMC证书-本地计算机，个人-所有任务-导入，将刚刚申请的证书导入进来。需要注意的是只要操作正确，无论是CER格式还是P7B证书链形式的证书，都是会有私钥的。如果没有，就说明操作有问题。

然后我们再到Lync Server边缘服务器的部署向导-证书向导-选择Internet证书进行分配。在分配的时候一定要选择我们刚刚申请的Internet证书而不要选择内部的。

然后我们在证书管理单元中将证书导出。

导出时一定要选择“是，导出私钥”，否则证书到OWA上也是没有用的。

然后我们在OWA服务器上进行证书的导入，注意是本地计算机的个人证书，而不是个人帐户的个人证书。

选择刚刚导出的证书，如果没有问题的话，这里一定是一个pfx格式的证书，需要我们在导入证书的对话框中更改打开按钮上方的扩展格式为“个人信息交换”。

然后输入刚才导出时设置的密码，进行证书导入。

导入完成后我们双击证书看下使用者可选名称以及相关的信息是否正常。特别是要记住最下方的证书友好名称，因为在设置OWA场时会用到。

确定无误后，我们通过New-OfficeWebAppFarm命令来重新设置OWA场：

New-OfficeWebAppsFarm -InternalUrl " https://owa.contoso.com" -ExternalUrl " https://owa.contoso.com" –CertificateName "OfficeWebAppCert" -EditingEnabled

这里的InternalURL是OWA内部地址，是所有域内服务器、客户端能够解析的地址，ExternalUrl则是外部地址，是外部客户端能够解析、访问的地址。可以一样也可以不一样，根据环境安排。

到此我们OWA证书的了解、请求、申请、颁发、导入、导出、指派就全部完成了，可能大家在使用的过程中会遇到一些问题，比较经典的证书信任问题、证书无效等问题。毕竟OWA是一个新的服务器角色，所以难免会遇到这些问题，但相信大家在了解今天的内容后，应该在OWA证书这一块不会再有很多疑虑。如果大家有任何问题，欢迎随时回复文章，我会尽快的和大家交流，我们一起学习、进步。