Exchange企業實戰技巧（3）配置Exchange證書

Exchange2010需要證書支持，exchange2010安裝之後會默認開啓ssl，在IE中只能使用https：//而不是http://來訪問owa。如果沒有證書，也能安裝exchange2010，也能使用owa，但是會有告警出現。

要想消除警告信息，需爲Exchange服務器頒發受信任的證書（默認Exchange安裝好後會爲自己簽發一個自簽名證書）。要爲Exchange頒發證書就要我們在公網CA機構爲Exchange申請證書或者在企業內部搭建自己的企業CA爲Exchange頒發證書。此處我們採用搭建自己的企業CA來實現，這也是多數企業採用的解決方案。
（一）架設證書服務器
1、服務器管理器---單擊角色---右邊添加角色---下一步---勾選active directory證書服務
2、點擊下一步後，告訴你如果要架設證書服務器，就不能夠再修改服務器的名字和域了，


3、默認只有安裝證書頒發機構，除此之外，聯機響應程序、web註冊功也可以安裝，web註冊功能需要前面已經安裝的IIS的asp支持。其他的服務要麼不能與證書頒發機構同一批安裝，要麼需要其他環境支持，都暫時不用安裝了。點擊下一步。


4、安裝類型裏面選擇企業，CA類型是根CA（R）


5、設置私鑰 新建私鑰，默認設置，勾選“當CA訪問該私鑰是，允許管理員交互操作”，點擊下一步。


6、配置CA名稱，默認，點擊下一步。證書有效期，默認5年，點擊下一步。數據庫位置和日誌位置默認，點擊下一步





7、確認，安裝。告警信息再次提醒部署了CA服務器後就不能修改計算機名稱和域了。

8、完成安裝

（二）Exchange2010申請證書
1) 以域管理身份登錄Exchange服務器。
2）打開Exchange管理控制檯，選擇“服務器配置---新建exchange證書”。

3) 輸入證書名稱“mail.contoso.com”，下一步。

4) 不啓用“啓動通配符證書”，下一步。

5) 選擇“客戶端訪問服務器”的向下雙箭頭，然後勾選下圖選項，然後下一步。

6) 設置公用名稱爲“mail.contoso.com”(或者默認)，然後下一步。
注：如果還有其它外網地址，一定要選擇“添加”，將外網地址添加到證書域。

7) 輸入組織和位置信息，然後選擇證書存放路徑爲“c：\ca”和名稱爲“exchange.reg”，下一步。

8) 選擇“新建”，新建證書。

9) 等待證書建立完成，然後選擇完成。

10) 打開IE，在IE瀏覽器中地址欄中，輸入http://bjrenndc01/certsrv
11) 輸入域管理用戶名和密碼。

12) 選擇“申請證書”。

13) 選擇“高級申請證書”。

14) 選擇“使用base64編碼”。

15) 使用記事本打開c:\ca\exchange.req文件，如圖將藍色字體文本複製下來。

16) 將上一步複製的文本，粘貼到base-64編碼的證書申請中，證書模板，設置爲web服務器，然後提交。

17) 按默認設置，選擇“下載證書”。

18) 將證書保存到C：\ca\目錄，名稱爲certnew.cer。

3 證書服務器導入Exchange服務器受信任根證書
1) 以域管理登陸BJRENNEX01服務器
2) 打開IE，在IE瀏覽器中地址欄中，輸入http://bjrenndc01/certsrv。
3) 輸入域管理用戶名和密碼。

4) 選擇下載CA證書、證書鏈或CRL

5) 選擇下載CA證書鏈，將證書保存到c:\ca\ca.cer。


6) 在運行中輸入“mmc”。

7) 選擇“文件”，“添加/刪除管理單元”，“證書”然後添加到所選管理單元。


8) 選擇“計算機賬戶”，下一步。

9) 選擇“本地計算機（運行此控制檯的計算機）”，完成，點擊確定


10) 展開“證書（本地計算機）--受信任的根證書頒發機構—證書”，右鍵單擊“證書”，選擇“所有任務—導入”。

11) 證書導入嚮導，下一步。

12) 選擇CA證書文件“c：\ca\certnew.p7b”，下一步。

13) 按默認，下一步。

14) 選擇“完成”，並確定。


4 導入Exchange2010證書
1) 以域管理身份登陸BJRENNEX01
2) 打開Exchange管理控制檯，選擇“服務器配置---Exchange證書”，右鍵點擊“Exchange”證書，選擇“完成擱置請求”。

3) 點擊“瀏覽”，選擇“c:\ca\certnew.cer”的證書文件，完成。

4) 選擇“完成”。

5) 查看證書狀態。

5 爲服務分配證書
1) 以域管理身份登陸BJRENNEX01
2) 打開Exchange管理控制檯，選擇“服務器配置---Exchange證書”，右鍵點擊“Exchange”證書，選擇“爲證書分配服務”。

3) 在“將服務分配到證書”界面，添加當前FENG-EX01服務器（默認情況下已添加），下一步。

4) 在“選擇服務”界面，選擇需要分配證書的服務，下一步。

5) 選擇“分配”。

6) 提示“是否覆蓋現有默認的SMTP證書”，選擇“全是”。注意：exchange2010安裝完成後，會自動生成一個證書，這個提示詢問是否覆蓋exchange2010自動生成證書。

7) 選擇“完成”。

8) 查看爲證書分配服務。

9)刪除Exchange自簽名證書

11）將該證書包含私鑰從該CAS節點導出，然後再導入到NLB中的其他CAS節點。
右鍵單擊該證書，選擇 導出exchange證書，並設置證書導出路徑、名稱及密碼。



10）在另外一臺CAS（BJRENNEX02）上右鍵點擊，選擇 導入Exchange證書

11）選擇 證書路徑並輸入私鑰密碼（證書導出密碼），按提示進行操作，步驟同上3-9











12）測試證書是否生效，瀏覽器輸入https://mail.contoso.com/owa，不再提示證書錯誤。