Exchange 2010 部署配置详细指南(二)Exchage 2010证书配置介绍

继上一篇"Exchange 2010部署配置详细指南",本篇介绍Exchange 2010的证书配置过程。

   默认情况下,Exchange 会安装默认的自签名证书,以便对所有网络通信进行加密。 加密所有网络通信要求每台 Exchange 服务器都有一个其可以使用的 X.509 证书。 我们应该用客户端自动信任的证书替换此自签名证书。

 “自签名”表示仅由 Exchange 服务器本身创建和签署证书。 由于该证书不是由通常受信任的 CA 所创建和签署的,默认情况下,只有Exchange 组织中的其他 Exchange 服务器会自动信任此证书,但是客户端(如 Web 浏览器、Outlook 客户端、移动电话以及除外部电子邮件服务器之外的其他电子邮件客户端)都不会自动信任它。 因此,我们需要搭建自己的CA来颁发证书,让客户端自动信任证书替换自签名证书。

所以,首先要在域中有CA服务器(这里不介绍CA服务器的安装)。


我的环境中,DC(pdc1.fengdian.info)承担CA服务器的角色。角色已经安装好,所以我直接配置Exchange证书就好了。

打开"Exchange管理控制台",导航至【服务器配置】,操作窗格中选择"新建Exchange证书":

030147352.png

设置证书名称:

104004924.png

设置证书所用域:如果勾选"启用通配符证书",并输入根域;我们不勾选(可根据个人环境选择是否启用),直接【下一步】

104105464.png

设置好Exchange配置和域信息,不符合要求的需要手动修改:

104135866.png

设置证书作用的域列表:

104302643.png

设置证书描述信息, 【浏览】选择证书请求文件保存的位置,需要记住这个位置,下面还会用到这个文件,如图示【下一步】

104357317.png

证书摘要,无误的话点击【新建】

104438200.png

证书成功创建,并给出接下来要进行的操作步骤,如图:

104500240.png

下载证书:

使用浏览器,地址栏中输入http://CA的ip/certsrv, 输入域管理员凭证,如下

032356648.png

点击"申请证书"进行证书的申请:

032358148.png

证书类型选择"高级申请证书"

032354521.png

证书类别:选择"使用base64编码的CMC或PKCS#10文件提交一个证书申请"

032708102.png

打开证书申请提交界面:

打开刚才保存的证书申请请求文件fengdian.req,复制图中蓝色区域的内容(除去首行和尾行):

104611166.png

粘贴到下图中的"保存的申请"空白框中,证书模板选择"Web服务器"【提交】完成提交请求.

104654385.png

可以看到证书已经通过申请,CA已经颁发。选择"下载证书"    基于Base64编码;

104927741.png

为证书设置一个名称并设置保存路径,待会需要这个证书:

104952400.png

保存后,回到Exchange管理控制台。

右击新建的证书,选择"完成搁置请求",如图

105027101.png

【浏览】导航至刚才保存的证书路径下,并选择证书

105127979.png

【完成】来执行完成搁置请求,成功完成,如图

105144424.png

下面就开始为证书分配服务了,具体操作:

EMC->服务器配置->Exchange证书,再次右击证书名称,选择"为证书分配服务"

105209376.png

选择服务器,默认即可

105301575.png

选择证书要分配到哪些服务,这里我选择了所有服务:

034543717.png

服务分配摘要查看,点击【分配】执行证书服务分配

105745285.png

我这里出现错误,错误提示如下,原因是"统一消息角色设置为仅在TCP模式下运行",需要将模式更改为TLS或者Dual.

034548843.png

下面开始更改"统一消息服务器"运行模式:

EMC,导航至【统一消息】,选中服务器,右击"属性",如下图:

034550942.png

切换至"UM设置"选项卡,启动模式由"TCP"更改为"二者都有":

034552678.png

模式更改提示需要重启"Microsoft 信息存储服务":

034554640.png

【管理工具】服务管理控制台中,重启Exchange信息存储服务,

035657489.png

服务重启后,回到刚才为证书分配服务的界面,返回上一步,再次分配,如图示

提示"是否覆盖现有默认的SMTP证书",选择"是";

105822194.png

为统一消息启用指纹证书吗? 选择"是";

105841488.png

证书服务分配完成:

105857155.png

112616606.png

然后就可以删除自签名证书了。

测试Exchange证书有效性:

未配置证书前:

域内用户打开OWA,如图

110507774.png

配置证书后,直接跳转到登陆凭证界面:

110713850.png

同时,域内outlook 2007客户端也不会再显示证书错误。


证书配置就到此完成了,到期前选择续约证书就可以了.


你可能感兴趣的:(Exchange,2010,证书配置)