《统一沟通-微软-实战》-3-部署-Exchange 2010-3-证书-创建-导入-分配
参照:
http://technet.microsoft.com/zh-cn/library/gg502577.aspx
在 Exchange 2010 中,数字证书用于以下方面的身份验证和加密:
- 传输服务器之间的 SMTP 通信(使用传输层安全性)
- 客户端访问方法(如 Outlook Web App、Outlook Anywhere、Exchange ActiveSync 和 Exchange Web 服务)的 HTTP 通信(使用安全套接字层)
- 联合身份验证的 HTTP 通信
以下主题说明如何使用证书:
创建新的 Exchange 证书
导入 Exchange 证书
为证书分配服务
查看 Exchange 证书属性
导出 Exchange 证书
续订 Exchange 证书
访问-OWA 创建新的 Exchange 证书此主题尚未评级 评价此主题
适用于: Exchange Server 2010 SP2
上一次修改主题: 2011-03-19
安装客户端访问服务器角色后,您需要在组织中为各种服务创建安全套接字层 (SSL) 证书。
先决条件
已安装客户端访问服务器角色。
希望执行何种操作?
- 使用 EMC 创建新的 Exchange 证书
- 使用命令行管理程序新建 Exchange 证书
使用 EMC 创建新的 Exchange 证书
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。
1. 在控制台树中,单击“服务器配置”。
2. 在操作窗格中,单击“新建 Exchange 证书”可打开新建 Exchange 证书向导。此向导将帮助您确定 Exchange 组织所需的证书类型。
3. 在“简介”页中,为您的证书输入一个友好的名称。
4. 在“域作用域”页中,选中“启用通配符证书”复选框,如果要通过创建通配符证书将该证书自动应用于所有子域,请随后输入根域。
5. 如果您没有选择创建通配符证书,则可以使用“Exchange 配置”页选择证书需要支持的服务和协议。从下列选项中进行选择:
o 联合共享 如果要将此证书用于联合共享,可选中“将此证书用于联合共享”复选框。
o 客户端访问服务器(Outlook Web App) 如果要将此证书用于 Outlook Web App,可在 Intranet 或 Internet 上选中 Outlook Web App 的相应框,然后输入用于访问 Outlook Web App 的域名。
o 客户端访问服务器(Exchange ActiveSync) 如果要将此证书用于 Exchange ActiveSync,可选中“启用 Exchange ActiveSync”复选框,然后输入用于访问 Exchange ActiveSync 的域名。
o 客户端访问服务器(Exchange Web 服务、Outlook Anywhere 和自动发现) 如果要将此证书用于 Exchange Web 服务、Outlook Anywhere 或自动发现服务,可选中相应的复选框,然后输入组织的外部主机名。对于自动发现服务,请选择是使用“长 URL”格式、“短 URL”格式,还是自定义格式。在“要使用的自动发现 URL”框中,输入自动发现服务的完整 URL。
o 客户端访问服务器(POP/IMAP) 选中此复选框可指定用户是否在 Intranet 和 Internet 上使用 POP 和 IMAP。输入用于 POP 和 IMAP 的域名。
o 统一消息服务器 如果要使用统一消息,可以选择是使用自签名证书,还是使用公用证书。如果要将统一消息与 Office Communications Server 结合使用,则必须使用公用证书。对于每个选项,都应输入统一消息服务器的完全限定域名 (FQDN)。
o 集线器传输服务器 如果要使用相互 TLS 来帮助保护 Internet 邮件,或要将集线器传输服务器用于 POP 和 IMAP 客户端提交,请输入集线器传输服务器的 FQDN。
o 旧版 Exchange Server 如果要从以前版本的 Exchange Server 升级,且升级期间要在共存方案中进行一段时间的操作,则可以选择“使用旧域”并输入旧域名。
6. 在“证书域”页上,查看要添加到证书的域列表。您可以单击“添加”来添加其他域,或者如果需要进行更改,则可以单击列出的某个域,随后单击“编辑”。使用“设置为公用名”选项可将某个域选作证书的公用名。
7. 在“组织和位置”页中,输入您的 Exchange 组织的相关信息。您将需要输入组织名称、组织单位、和位置信息(包括国家/地区、市/县和省/市/自治区)。在“证书请求文件路径”部分中,单击“浏览”选择证书请求文件的位置,然后输入要使用的文件名。
8. 在“证书完成”页中,验证输入的所有信息是否正确。如果正确,请单击“新建”。
9. 在“完成”页中,按照所列步骤完成您的请求。此页也包含新建证书所必需的 cmdlet 语法。
使用命令行管理程序新建 Exchange 证书
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。
下面的代码示例以 Base64 格式将证书请求输出到命令行控制台。必须将证书请求发送到组织中的证书颁发机构 (CA)、组织外部的信任 CA 或商业 CA。可以通过将证书请求输出粘贴在电子邮件中或 CA 的证书请求网页上的相应字段中,以完成此操作。还可以使用诸如记事本这样的文本编辑器将证书请求保存到文件。
生成的证书具有以下关联的属性:
- 主题名称:c=
,o= ,cn=mail1.woodgrovebank.com - 主题备选名称:woodgrovebank.com 和 example.com
- 可导出的私钥
复制
New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable $true 申请证书
导入 Exchange 证书
此主题尚未评级 评价此主题
适用于: Exchange Server 2010 SP2
上一次修改主题: 2011-03-19
可以使用“导入 Exchange 证书”向导从扩展名为 .pfx 的文件中导入证书。
先决条件
已安装客户端访问服务器角色,之前已将包含私钥的证书导出为扩展名为 .pfx 的文件。
希望执行何种操作?
- 使用 EMC 导入新的 Exchange 证书
- 使用命令行管理程序导入新的 Exchange 证书
使用 EMC 导入新的 Exchange 证书
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。
1. 在控制台树中,单击“服务器配置”。
2. 从操作窗格中,单击“导入 Exchange 证书”以打开“导入 Exchange 证书”向导。
o 此向导将帮助您确定 Exchange 组织所需的证书类型。
3. 在“简介”页上,单击“浏览”以选择包含导出的证书的文件,然后输入该证书的密码。
4. 在“Exchange Server 选择”页上,选择要将证书导入到其中的 Exchange 服务器。
5. 在“完成”页上,验证之前选择的所有选项是否都正确。
6. 在最后一页上,按照列出的步骤操作来完成您的请求。此页还会显示导入证书所需的命令行管理程序 cmdlet 语法。
使用命令行管理程序导入新的 Exchange 证书
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。
此示例从名为 import.pf 的文件中导入 Exchange 证书。
复制
Import-ExchangeCertificate -Path c:\certificates\import.pfx -Password:(Get-Credential).password 为证书分配服务此主题尚未评级 评价此主题
适用于: Exchange Server 2010 SP2
上一次修改主题: 2011-03-19
您可以为安全套接字层 (SSL) 证书分配特定服务。可以分配的服务包括 POP、IMAP、IIS 和 SMTP。
先决条件
已安装客户端访问服务器角色,且客户端访问服务器上至少安装了一个证书。
希望执行何种操作?
- 使用 EMC 为证书分配服务
- 使用命令行管理程序为证书分配服务
使用 EMC 为证书分配服务
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。
1. 在控制台树中,选择“服务器配置”。
2. 在操作窗格中,单击“新建 Exchange 证书”可打开新建 Exchange 证书向导。
o 此向导将帮助您确定 Exchange 组织所需的证书类型。
3. 在“分配服务简介”页上,使用各复选框选择要分配给证书的服务。
4. 在“Exchange Server 选择”页上,选择证书所在的 Exchange 服务器。
5. 在“完成”页上,验证已提供的所有信息是否正确。
6. 在“确认”页上,按照列出的步骤操作来完成您的请求。此页还会显示新建证书所需的命令行管理程序 cmdlet 语法。
使用命令行管理程序为证书分配服务
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。
以下示例将为证书分配 IMAP、POP、IIS 和 SMTP 服务。
复制
Enable-ExchangeCertificate -Server 'EXCH-H-868' -Services 'IMAP, POP, IIS, SMTP' -Thumbprint 'EDF57B5F9D81F1EC329BFB77ADD4465B426A40FB' 查看 Exchange 证书属性此主题尚未评级 评价此主题
适用于: Exchange Server 2010 SP2
上一次修改主题: 2011-03-19
可以查看任何现有 Exchange 证书的属性。属性包括有效日期、序列号和公钥类型。
先决条件
已安装客户端访问服务器角色,且客户端访问服务器上至少安装了一个证书。
希望执行何种操作?
- 使用 EMC 查看 Exchange 证书属性
- 使用命令行管理程序查看 Exchange 证书属性
使用 EMC 查看 Exchange 证书属性
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。
1. 在控制台树中,单击“服务器配置”。
2. 选择包含证书的服务器,然后选择要查看的证书。
3. 在操作窗格中,单击“打开”。
o 可以在“Exchange 证书”对话框的“常规”、“详细信息”和“证书路径”页上查看有关证书的信息。
使用命令行管理程序查看 Exchange 证书属性
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。
本示例在格式化列表中显示 Exchange 证书的所有属性。
复制
Get-ExchangeCertificate 0271A7F1CA9AD8A27152CCAE044F968F068B14B8 | fl测试:
使用Https://mail.uc-cn.net/owa
登录-DC
新建-A记录
《统一沟通-微软-实战》-3-部署-Exchange 2010-3-证书-创建-导入-分配-结束!