Exchange 2010 部署配置详细指南(二)Exchage 2010证书配置介绍

继上一篇"Exchange 2010部署配置详细指南"，本篇介绍Exchange 2010的证书配置过程。

   默认情况下，Exchange 会安装默认的自签名证书，以便对所有网络通信进行加密。 加密所有网络通信要求每台 Exchange 服务器都有一个其可以使用的 X.509 证书。 我们应该用客户端自动信任的证书替换此自签名证书。

 “自签名”表示仅由 Exchange 服务器本身创建和签署证书。 由于该证书不是由通常受信任的 CA 所创建和签署的，默认情况下，只有Exchange 组织中的其他 Exchange 服务器会自动信任此证书，但是客户端（如 Web 浏览器、Outlook 客户端、移动电话以及除外部电子邮件服务器之外的其他电子邮件客户端）都不会自动信任它。 因此，我们需要搭建自己的CA来颁发证书，让客户端自动信任证书替换自签名证书。

所以，首先要在域中有CA服务器(这里不介绍CA服务器的安装)。

我的环境中，DC(pdc1.fengdian.info)承担CA服务器的角色。角色已经安装好，所以我直接配置Exchange证书就好了。

打开"Exchange管理控制台"，导航至【服务器配置】，操作窗格中选择"新建Exchange证书"：

设置证书名称：

设置证书所用域：如果勾选"启用通配符证书"，并输入根域；我们不勾选(可根据个人环境选择是否启用),直接【下一步】

设置好Exchange配置和域信息，不符合要求的需要手动修改：

设置证书作用的域列表：

设置证书描述信息, 【浏览】选择证书请求文件保存的位置，需要记住这个位置，下面还会用到这个文件，如图示【下一步】

证书摘要，无误的话点击【新建】

证书成功创建，并给出接下来要进行的操作步骤,如图：

下载证书：

使用浏览器，地址栏中输入http://CA的ip/certsrv, 输入域管理员凭证，如下

点击"申请证书"进行证书的申请：

证书类型选择"高级申请证书"

证书类别：选择"使用base64编码的CMC或PKCS#10文件提交一个证书申请"

打开证书申请提交界面：

打开刚才保存的证书申请请求文件fengdian.req,复制图中蓝色区域的内容(除去首行和尾行):

粘贴到下图中的"保存的申请"空白框中，证书模板选择"Web服务器"【提交】完成提交请求.

可以看到证书已经通过申请，CA已经颁发。选择"下载证书"    基于Base64编码；

为证书设置一个名称并设置保存路径，待会需要这个证书：

保存后，回到Exchange管理控制台。

右击新建的证书，选择"完成搁置请求"，如图

【浏览】导航至刚才保存的证书路径下，并选择证书

【完成】来执行完成搁置请求，成功完成，如图

下面就开始为证书分配服务了，具体操作：

EMC->服务器配置->Exchange证书，再次右击证书名称，选择"为证书分配服务"

选择服务器，默认即可

选择证书要分配到哪些服务，这里我选择了所有服务：

服务分配摘要查看，点击【分配】执行证书服务分配

我这里出现错误，错误提示如下，原因是"统一消息角色设置为仅在TCP模式下运行"，需要将模式更改为TLS或者Dual.

下面开始更改"统一消息服务器"运行模式：

EMC，导航至【统一消息】，选中服务器，右击"属性",如下图：

切换至"UM设置"选项卡，启动模式由"TCP"更改为"二者都有"：

模式更改提示需要重启"Microsoft 信息存储服务"：

【管理工具】服务管理控制台中，重启Exchange信息存储服务，

服务重启后，回到刚才为证书分配服务的界面，返回上一步，再次分配，如图示

提示"是否覆盖现有默认的SMTP证书"，选择"是"；

为统一消息启用指纹证书吗？ 选择"是"；

证书服务分配完成：

然后就可以删除自签名证书了。

测试Exchange证书有效性：

未配置证书前:

域内用户打开OWA,如图

配置证书后，直接跳转到登陆凭证界面:

同时，域内outlook 2007客户端也不会再显示证书错误。

证书配置就到此完成了，到期前选择续约证书就可以了.