Exchange2010證書攻略
上篇文檔中我們搭建了Exchange2010郵件服務器的DAG,基本完成了Exchange服務器所有角色的部署。接下來就要對Exchange的服務器角色進行各種配置,例如配置接收連接器,發送連接器,OWA,Outlook Anywhere等等…..今天要爲大家介紹的是如何在Exchange服務器上申請證書以及爲證書分配服務。
首先介紹證書是因爲Exchange2010中的證書要求比Exchange2003更高,而且Exchange很多服務都需要證書的支持,因此我們首先拿證書開場。證書申請的頒發機構可以使用自己創建的,也可以到商業CA購買。我們推薦自己創建CA,畢竟到商業CA購買一個證書需要8000RMB/年,而且申請起來遠遠沒有私有CA這麼靈活。
Exchange2010需要使用多域名證書,這是因爲當Outlook或OWA連接Exchange服務器時,需要服務器出示一個mail.contoso.com的證書;當使用自動發現功能時,需要服務器出示一個autodiscover.contoso.com的證書;當需要訪問舊的Exchange2003服務器時,客戶端需要Exchange2010服務器出示一個legacy.contoso.com的證書。Exchange服務器上只能掛一個證書,這個證書要同時滿足這麼多的命名需求,就只能使用多域名證書了。多域名證書允許在一個證書上同時綁定多個證書名稱,使用起來和通配符證書有些類型,但細究起來很是有分別的。通配符證書一般用於同一域內,例如證書需要多個域名,但每個證書的域名後綴都相同,都是contoso.com,那麼這時可以使用通配符證書*.contoso.com,這樣更簡單一些。如果證書上的多個域名後綴不同,例如證書上同時需要mail.contoso.com和mail.fabrikam.com,那使用通配符證書就不太方便了,還是老老實實配置多域名吧。
一、申請證書
在Exchange服務器上打開EMC控制檯,切換到服務器節點,點擊右側任務欄中的“新建Exchange證書”。如圖1所示,出現Exchange證書嚮導。首先要輸入證書的友好名稱後,證書的友好名稱僅僅用於標示證書,可以隨意命名。
圖1
接下來要選擇是否啓用通配符證書,如果證書的後綴都相同,可以使用通配符,例如*.contoso.com,這樣更方便一些。如果證書的域名後綴不同,通配符證書就不太合適了。
圖2
證書嚮導設計了很多Exchange的應用場景,如圖3所示,要求我們輸入證書應用於不同場景時的名稱。其實這裏可以不用仔細審閱,要是嫌麻煩,直接跳過就可以。Why?看下面的就明白了。
圖3
看看圖4就明白了,這裏可以直接輸入證書名稱,比圖3要方便得多。一般來說,證書的名稱要包含下列幾個:1是Exchange服務器的計算機名,本例中是cashub1.congoto.com和cashub2.contoso.com;2是Exchange服務器CAS陣列的計算機名,本例中是mail.contoso.com;3是outlook自動發現的保留計算機名,這個名稱必須是autodiscover.contoso.com;4是舊版本Exchange的保留名稱,本例中是legacy.contoso.com。要注意的是,legacy.contoso.com的域名要解析到舊版本的Exchange2003前端服務器。這裏要稍微解釋一下,當舊版本Exchange和Exchange2010並存時,要確保用戶首先訪問到Exchange2010的CAS服務器。當用戶訪問到Exchange2010的CAS服務器後,如果用戶訪問的郵箱隸屬於Exchange2010,CAS服務器會自動跳轉到Exchange2010的郵箱服務器;如果用戶訪問的郵箱隸屬於舊的Exchange服務器,CAS服務器就會自動跳轉到legacy.contoso.com服務器,由legacy.contoso.com再跳轉到舊版本Exchange的郵箱服務器。因此legacy.contoso.com的IP地址一定要對應舊版本Exchange的前端服務器。
圖4
如圖5所示,接下來要填寫證書的一些地理信息,這些信息都是無關緊要的。填寫完這些信息後,我們需要把申請證書填寫的這些參數保存到一個文件中,本例中我們保存到了c:\exchange-cer.req文件中,這個文件我們接下來要用到。
圖5
如圖6所示,點擊“新建”按鈕,證書請求參數就會寫入到指定的文件中。
圖6
點擊“完成”,結束證書申請的第一階段工作。剛纔我們收集了請求證書的各項參數,接下來要真正開始申請證書了。
圖7
CA服務器我們部署在域控制器上,如圖8所示,在Exchange服務器上打開瀏覽器,輸入http://dcserver/certsrv,選擇“申請證書”。
圖8
如圖9,選擇“提交一個高級證書申請”。
圖9
如圖10所示,選擇使用Base64編碼提交證書申請。
圖10
如圖11所示,用記事本打開c:\exchange-cer.req文件,將文件內容全部複製到證書申請框中。證書模板選擇“Web服務器”,點擊“提交”按鈕。
圖11
如圖12所示,申請的證書已經頒發,點擊“下載證書”,按系統提示把證書保存到指定的文件中,這樣算是完成了證書申請的第二階段工作。
圖12
在Exchange服務器的EMC控制檯中右鍵點擊掛起的證書申請,如圖13所示,選擇“完成擱置請求”。
圖13
如圖14所示,按系統提示,定位到CA服務器頒發的證書文件,點擊“完成”按鈕,就可以結束證書申請工作了。
圖14
如圖15所示,第一臺Exchange服務器已經完成了證書申請工作。
圖15
二、證書導出/導入
第一臺Exchange CAS服務器申請完證書後,我們可以把申請的證書直接導出給第二臺CAS服務器,這樣可以避免在第二臺CAS服務器上重新申請證書。如圖20所示,在Exchange的EMC中右鍵點擊第一臺CAS服務器的證書,選擇“導出Exchange證書”。
圖20
如圖21所示,證書需要導出爲pfx格式,pfx格式證書需要輸入一個私鑰保護密碼,以免被未授權人員輕易導入。
圖21
第一臺CAS服務器導出證書後,如圖22所示,我們在EMC中右鍵點擊第二臺CAS服務器,選擇“導入Exchange證書”。
圖22
導入證書需要輸入pfx文件名以及私鑰保護密碼。
圖23
如圖24所示,我們選擇在第二臺CAS服務器上導入證書。
圖24
點擊“導入”按鈕,開始證書導入工作。
圖25
如圖26所示,證書導入完成,現在兩臺CAS服務器上都已經有證書。由於客戶機並不直接訪問郵箱服務器,因此兩臺郵箱服務器就不用申請證書了。
圖26
三、證書分配服務
兩臺CAS服務器擁有證書後,我們要發揮證書的作用,把證書和Exchange服務關聯起來。一般來說,證書肯定會用在網站服務,另外,SMTP,POP3或IMAP也可能會使用證書。在Exchange服務器的EMC中右鍵點擊證書,選擇“爲證書分配服務”,如圖17所示,選擇要分配服務的Exchange服務器,我們需要把兩臺CAS服務器都選中。
圖17
如圖18所示,我們爲證書分配了POP,IIS及SMTP服務。這個選擇要視具體的業務需求而定,有可能其他企業還需要分配IMAP或統一消息服務。
圖18
如圖19所示,嚮導提示要使用申請到的證書覆蓋SMTP使用的自簽名證書,點擊“是”同意覆蓋。其實Exchange服務器安裝完成後會安裝一個自簽名證書,這個證書是Exchange服務器自己頒發給自己的,因此客戶機都不信任證書,使用起來不方便。因此我們才需要費點心思爲Exchange服務器手工申請證書,本文結束後,相信大家對Exchange申請證書有了一定的認識。下次我們將爲大家介紹如何進行Exchange服務器後續的配置。
圖19