4.1 为CAS申请证书

Exchange203安装完成后，默认使用自签名证书，客户端通过OWA访问时，会报下面的提示：

其他一些服务，如 Outlook Anywhere 和 Exchange ActiveSync，也要求在 Exchange 2013 服务器上配置证书。下面咱们就看一下证书的配置：

首先，我们需要安装内部CA。在此，我就在DC01上安装CA。

选择 AD证书服务，如下图所示：

然后，连续下一步之后，选中下图所示的证书颁发机构和证书颁发机构WEB注册。

稍等片刻之后，等证书颁发机构安装成功。接下来，还需要进行证书服务配置。

下一步之后，出现下图所示的界面：

选择企业CA----根CA。基本选项基本默认即可。

注：测试环境CA安装完成后，重启CA，MBX和CAS，让服务器在受信任的根证书颁发机器中含CA根证书。

再次，为Exchange CAS角色申请证书：

登录到EAC----服务器----证书，确保在“选择服务器”字段中选择了客户端访问服务器，然后单击“新建”。

在“新建 Exchange 证书”向导中，选择“创建从证书颁发机构获取证书的请求”，然后单击“下一步”。

指定此证书的名称，然后单击“下一步”。

不想申请通配符证书，则将该页留空。单击“下一步”。

单击“浏览”，指定用于存储证书的 Exchange 服务器。您选择的服务器应是面向 Internet 的客户端访问服务器。单击“下一步”。

对于列表中显示的每个服务，验证用户将用来连接到 Exchange 服务器的外部或内部服务器名称是否正确。

添加您要在 SSL 证书中包括的其他任何域，例如本例中加入了一系列和dudangdang.com以及CAS02相关的域名。

同时选择一个做为公用域名：

填写基本信息。

将证书请求保存到共享文件夹中：

然后，浏览器访问 http://10.41.4.210/certsrv(CA)，选择申请证书---高级证书申请---使用BASE64编码的证书申请，出现下图，提交

提交之后，出现下图所示的界面：

选择：下载证书。保存到指定的位置，如C:\。

然后，完成搁置的请求，点击“完成”，如下图所示：

指定刚才下载的证书文件：

然后，就可以看到此证书已经变为有效了（如果还是无效，则需要导入CA证书），然后选中此证书，编辑

接下来分配服务：在证书页面上，单击“服务”。选择您要分配给此证书的服务。至少，您应选择“SMTP”和“IIS”。单击“保存”。如果收到警告“是否覆盖现有的默认 SMTP 证书?”，单击“是”。

因为，我们有两个CAS服务器，因此，我们需要将CAS01上刚刚申请的证书导出，然后在CAS02上导入。如下图所示：

指定指定导出文件的路径文件名以及保护密码：在此直接保存到CAS02上。

然后，切换到DF-CAS02上，导入证书：

然后，指定刚才pfx文件的共享路径及密码：

然后，选择应用此证书的服务器：

然后，此服务器上也需要为证书分配服务，方法同上。

验证方法也非常简单，再次访问OWA，如果不出现本文档开头的警告信息就OK了。

转自：http://dufei.blog.51cto.com/382644/1436436/