为Exchange Server创建多主机名证书

完成 Exchange Server 安装后 , 系统会自动为 IIS 的网站颁发一个自签的证书 , 在实际生产环境中必须向 CA 申请证书并在客户端访问服务器上替换它。

 

以往，我们习惯于用 IIS 通过向导申请证书，这样简单方便。但有个缺点，就是证书申请时主机名只能填一个，如 exchangeserver.wsq.com 。

 

为了方便用户，你想使用其它地址访问 Exchange OWA ，如 mail.wsq.com 、 email.wsq.com 等。于是你在 DNS 服务器的 wsq.com 域中注册了 mail 和 email 的 A 记录，并指向客户端访问服务器。 OK ，现在用户可以使用 mail.wsq.com 访问 Exchange OWA 了，但是每次输入“ https:mail.wsq.com ”访问时浏览器总是会报错：此证书不是颁发给此网站的。事实上这不仅没有方便用户，而且还增加了用户的担忧。因为每次访问都要报错。

 

OK ，难道 Exchange 只能申请一个主机名的证书吗？不是的，我们可以通过 Exchange 命令行管理工具申请多主机名的证书

在这里我注册 3 个主机名，分别为：

Mail.wsq.com

Exchangeserver.wsq.com

Autodiscover.wsq.com （ Outlook Anywhere 访问 Exchange 需要使用此地址）

在 EMS 中输入

New-ExchangeCertificate -SubjectName "c=CN,s=JS,o=WUSIQI,cn=exchangeserver.wusiqi.com" -DomainName mail.wusiqi.com,autodiscover.wusiqi.com,exchangeserver.wusiqi.com -GenerateRequest -path C:\certreq.txt

 

地址之间用逗号隔开

将此证书申请提交到 CA ，并采用“高级证书申请”，输入文本文档中的 BASE64 编码，然后颁发证书。

 

证书申请到了，下一步要做的就是将证书导入Exchange服务器并应用于 IIS。 为了方便，我之前试着使用 MMC 导入证书，并通过 IIS 配置，可以成功执行操作，但当我用客户端访问时，无论用哪个地址都会访问失败。因此，必须通过 EMS 导入并安装证书：

Import-ExchangeCertificate -Path C:\certnew.cer -FriendlyName "Exchange Certificate"

此时，会生成一段Thumbprint代码，请记录下这段代码。

 

以上操作完成后，我们就已经将证书导入到了Exchange服务器。

 

下面将通过命令应用此证书到Exchange服务：

（注意，这里要输入刚才生成的Thumbprint代码，在-Thumbprint后面输入这段代码。）

Enable-ExchangeCertificate -Thumbprint 0CCBD5EC2006AE1B410469FE9719CEAFB826BB8C -Services IIS,IMAP,POP

 

OK ，这样一来，用户就可以通过多个地址访问 Exchange, 并且浏览器不会再报错了 .可以看看这个证书的属性:

 

 

OK,就这么多,作为技术分享,如有不当或不正确之处欢迎批评指正!