1. 安裝CA
在本機控制面板添加/刪除程序→添加/刪除WINDOWS組件→增加證書服務。安裝證書服務。
在安裝證書過程中,選擇 “Enterprise Root”類型。
2.創建虛擬目錄
程序→管理工具→INTERNET服務器管理器→INTERNET信息服務界面
在默認WEB站點內,建立虛擬目錄“IISADMPWD”,應一字不錯,切記。選擇路徑:c:\winnt\system32\inetsrv\iisadmpwd 。如果你安裝IIS沒改目錄的話,就是這個目錄了。如果改了目錄,你需要找到IISADMPWD目錄。如果沒有此目錄,則你證書安裝有問題。安裝權限選擇“讀取、運行腳本”。在IISADMPWD目錄上選屬性--目錄安全性—匿名訪問和驗證控制—編輯—勾選匿名訪問,確定退出。
3. 轉到DOS字符界面
cd c\:inetpub\AdminScripts
運行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
在本機控制面板添加/刪除程序→添加/刪除WINDOWS組件→增加證書服務。安裝證書服務。
在安裝證書過程中,選擇 “Enterprise Root”類型。
2.創建虛擬目錄
程序→管理工具→INTERNET服務器管理器→INTERNET信息服務界面
在默認WEB站點內,建立虛擬目錄“IISADMPWD”,應一字不錯,切記。選擇路徑:c:\winnt\system32\inetsrv\iisadmpwd 。如果你安裝IIS沒改目錄的話,就是這個目錄了。如果改了目錄,你需要找到IISADMPWD目錄。如果沒有此目錄,則你證書安裝有問題。安裝權限選擇“讀取、運行腳本”。在IISADMPWD目錄上選屬性--目錄安全性—匿名訪問和驗證控制—編輯—勾選匿名訪問,確定退出。
3. 轉到DOS字符界面
cd c\:inetpub\AdminScripts
運行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
4.修改Exchange服務器上的註冊表以允許用戶通過OWA修改密碼:
在Exchange服務器上打開註冊表,並展開至
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSEchangeWEB\OWA
雙擊該項下的DisablePassword值,將其數值數據設爲0。另外如果您的Exchange環境包含前端-後端配置的話,則需要分別在前端和後端服務器上設置該註冊表項。
5.在the Web server申請證書請求
a.請打開IIS
b.右鍵單擊需要建立SSL的站點,並單擊屬性.
c.單擊目錄安全性, 然後單擊 服務器證書,這將會彈出一個嚮導窗口
d.單擊下一步 ->創建一張新證書.
e.單擊下一步->現在申請證書, 但以後發送.
f.單擊下一步, 填入證書名字.
g.單擊下一步, 鍵入 機構 和機構單元.
h.單擊下一步, 填入通用名. 通用名必須與服務器的FQDN名字相同.如果URL是 [url]https://www.mydomain.com/securedir[/url], 則通用名需爲 [url]www.mydomain.com.[/url]
i.單擊下一步, 填入國家 等信息
j.單擊下一步, and保存該文件,並繼續直至結束
6. 通過web向CA發送證書申請請求並頒發下載該證書:
a.在IE中打開 [url]http:///certsrv[/url], 選擇 Request a certificate.
注意:不要使用"localhost" 代替機器名.; certsrv一定要小寫
b.單擊 Next 並選擇 Advanced request.
c.單擊Next並選擇Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file.
d.單擊Next, 打開您已保存的文件,將該文件中所有的內容複製填入Base64 Encoded Certificate Request文本框.
e.單擊Submit. 可能會出現Certificate Pending 。. 如果彈出要您下載, 請跳到步驟 2j.
f.在Certificate Server上, 打開 Certification Authority(證書頒發機構) MMC.
g.召開CA,單擊 Pending Requests 右鍵單擊您申請的請求,選擇 All Tasks-> Issue.
h.在IE中打開 [url]http:///certsrv[/url] ,選擇Check on a pending certificate.
i.單擊 Next, 選擇您所申請的證書
j.擊Next, 選擇DER encoded, 然後單擊 Download CA certificate 將該證書保存在web server的本地硬盤上。
6.
a.打開IIS,右鍵單擊需要建立SSL的站點,並單擊屬性
b.單擊目錄安全性, 然後單擊 服務器證書,這將會彈出一個嚮導窗口
c.選擇”處理掛起的請求並安裝證書”
d.單擊下一步,選擇已下載的證書,繼續直至完成所有的操作
7. 打開IIS,打開Exchange虛擬目錄的屬性,打開“目錄安全性“,點擊最下面的一個“編輯”按鈕,在跳出的對話框中選中”需要安全通道“複選框“,具體的配置見下圖(暫無).
8.在OWA中選項“更改密碼”已經可以正常顯示修改口令的頁面了,輸入域、賬戶、舊密碼、新密碼後“OK" 即可出現密碼更改成功頁面。
在Exchange服務器上打開註冊表,並展開至
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSEchangeWEB\OWA
雙擊該項下的DisablePassword值,將其數值數據設爲0。另外如果您的Exchange環境包含前端-後端配置的話,則需要分別在前端和後端服務器上設置該註冊表項。
5.在the Web server申請證書請求
a.請打開IIS
b.右鍵單擊需要建立SSL的站點,並單擊屬性.
c.單擊目錄安全性, 然後單擊 服務器證書,這將會彈出一個嚮導窗口
d.單擊下一步 ->創建一張新證書.
e.單擊下一步->現在申請證書, 但以後發送.
f.單擊下一步, 填入證書名字.
g.單擊下一步, 鍵入 機構 和機構單元.
h.單擊下一步, 填入通用名. 通用名必須與服務器的FQDN名字相同.如果URL是 [url]https://www.mydomain.com/securedir[/url], 則通用名需爲 [url]www.mydomain.com.[/url]
i.單擊下一步, 填入國家 等信息
j.單擊下一步, and保存該文件,並繼續直至結束
6. 通過web向CA發送證書申請請求並頒發下載該證書:
a.在IE中打開 [url]http:///certsrv[/url], 選擇 Request a certificate.
注意:不要使用"localhost" 代替機器名.; certsrv一定要小寫
b.單擊 Next 並選擇 Advanced request.
c.單擊Next並選擇Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file.
d.單擊Next, 打開您已保存的文件,將該文件中所有的內容複製填入Base64 Encoded Certificate Request文本框.
e.單擊Submit. 可能會出現Certificate Pending 。. 如果彈出要您下載, 請跳到步驟 2j.
f.在Certificate Server上, 打開 Certification Authority(證書頒發機構) MMC.
g.召開CA,單擊 Pending Requests 右鍵單擊您申請的請求,選擇 All Tasks-> Issue.
h.在IE中打開 [url]http:///certsrv[/url] ,選擇Check on a pending certificate.
i.單擊 Next, 選擇您所申請的證書
j.擊Next, 選擇DER encoded, 然後單擊 Download CA certificate 將該證書保存在web server的本地硬盤上。
6.
a.打開IIS,右鍵單擊需要建立SSL的站點,並單擊屬性
b.單擊目錄安全性, 然後單擊 服務器證書,這將會彈出一個嚮導窗口
c.選擇”處理掛起的請求並安裝證書”
d.單擊下一步,選擇已下載的證書,繼續直至完成所有的操作
7. 打開IIS,打開Exchange虛擬目錄的屬性,打開“目錄安全性“,點擊最下面的一個“編輯”按鈕,在跳出的對話框中選中”需要安全通道“複選框“,具體的配置見下圖(暫無).
8.在OWA中選項“更改密碼”已經可以正常顯示修改口令的頁面了,輸入域、賬戶、舊密碼、新密碼後“OK" 即可出現密碼更改成功頁面。
在OWA修改密碼的時候總是提示:" 密碼太短,或不滿足密碼唯一性限制."
原因及解決方法:
在OWA中,凡是修改密碼成功後又失敗,並提示密碼長度不對或唯一性不足的情況,請在域控制器策略裏按以下設置調整:
密碼必須符合複雜性要求: 已禁用
密碼長度最小值: 沒有定義
密碼最短使用期限: 45天
密碼最長使用期限: 0天(可立即更改)
(此策略默認是每次修改需間隔24小時,而系統提示則是"密碼長度不對或唯一性不足",一定要注意!)強制密碼歷史: 0個
用可還原的加密來儲存密碼: 已禁用
修改完以後,請一定記得手工刷新組策略。(注意:刷新這個策略很關鍵,不刷新前面的更改是沒有用的。)
具體操作:
開始->運行-> gpupdate /force(運行了這一步,纔算是確認了修改,不然就等24小時後方能生效。)
在OWA中,凡是修改密碼成功後又失敗,並提示密碼長度不對或唯一性不足的情況,請在域控制器策略裏按以下設置調整:
密碼必須符合複雜性要求: 已禁用
密碼長度最小值: 沒有定義
密碼最短使用期限: 45天
密碼最長使用期限: 0天(可立即更改)
(此策略默認是每次修改需間隔24小時,而系統提示則是"密碼長度不對或唯一性不足",一定要注意!)強制密碼歷史: 0個
用可還原的加密來儲存密碼: 已禁用
修改完以後,請一定記得手工刷新組策略。(注意:刷新這個策略很關鍵,不刷新前面的更改是沒有用的。)
具體操作: