Exchge2010配置-为CAS服务器申请PKI证书

序：在Exchange 2007中，如果客户端使用的是Outlook，那么客户会以MAPI方式直接连接到邮箱服务器上，但如果使用的是其他方式访问邮箱，如POP3、OWA、IMAP4、Activesync等，他们是直接连接到客户端访问服务器，然后此服务器再将用户定位到邮箱服务器上。但在Exchange 2010中，所有的客户端访问请求都要连接到CAS服务器，经过身份验证之后，再通过代理转到相应的邮箱服务器。

那么客户端和CAS服务器通信的安全性就至关重要。默认Exchange2010安装完毕，使用的是自签名证书。

使用自签名证书的主要缺点是，没有第三方来对证书的真实性进行验证。每个收到您的已签名文档的人员都必须手动决定是否相信您的证书。

对于大型组织，有两种获取数字证书的主要方法：使用组织或公司 PKI 创建的证书以及商业证书。只想将已签名文档在组织中的其他员工中共享的组织首选公司 PKI，这样可降低成本。想要将已签名文档与组织外的人员共享的组织可能偏好使用商业证书。

下面我们看下如何创建企业PKI证书

拓扑环境：

主要步骤：

1. 搭建企业CA服务

2. Exch2010向CA申请证书,下载证书

3. Exch2010安装证书并分配服务

4. 客户端验证证书加密访问

配置过程：

首先确认下Exchange默认的自签名证书

Step1：我们在DC上安装AD证书服务

下一步

勾选“证书颁发机构WEB注册”，方便用户通过浏览器来申请证书，下一步

选择“企业根CA”，根CA可以自动颁发证书，并且在域中客户端会通过组策略自动信任根CA，下一步

设置根CA的名称

安装进行,等待完成。

Step2：切换至EMC控制台，exchange开始申请证书

点击”新建exchange证书“

输入证书的友好名称，下一步

下一步，

确认内外网域名信息，下一步

确保有以下域名信息，本实验域名为ms.com

填写组织信息，最后生成证书请求文件c:\Exch2010Cert.req.

Exchange2010正式申请，地址输入CA地址

键入域用户名及密码

申请证书

高级证书申请

使用base64编码。。。

粘贴之前生成的证书申请文件内容，证书模板选择”WEB服务器“，提交。

提交完会自动颁发，并出现下载向导。

选择保存位置c:\certnew.cer.

Step3：接下来安装证书并分配给服务

点击刚新建的证书，完成搁置请求

找到证书c:\certnew.cer

完成。

将服务分配给证书

选择CAS服务器

选择服务，确保勾选IIS

询问是否覆盖当前自签名证书，选”全是“

完成。

Step4：域客户端owa访问验证

如果客户端提示证书颁发机构不受信任，可以手工刷新组策略gpupdate /force或等待90min左右，解决信任关系。而对于工作组用户或外部用户，则需要手动建立信任关系，否则就是这个样子

需要点击“继续浏览网站“继续，用户体验会差一些

所以如果证书服务的客户端是公网用户还是建议去专门的CA公司去申请证书，因为这些CA的根证书已经导入到系统的信任列表。

好了，下一篇我们将介绍下Exchange2010如何启用Outlook Anwhere功能。