1. 安装CA
在本机控制面板添加/删除程序→添加/删除WINDOWS组件→增加证书服务。安装证书服务。
在安装证书过程中,选择 “Enterprise Root”类型。
2.创建虚拟目录
程序→管理工具→INTERNET服务器管理器→INTERNET信息服务界面
在默认WEB站点内,建立虚拟目录“IISADMPWD”,应一字不错,切记。选择路径:c:\winnt\system32\inetsrv\iisadmpwd 。如果你安装IIS没改目录的话,就是这个目录了。如果改了目录,你需要找到IISADMPWD目录。如果没有此目录,则你证书安装有问题。安装权限选择“读取、运行脚本”。在IISADMPWD目录上选属性--目录安全性—匿名访问和验证控制—编辑—勾选匿名访问,确定退出。
3. 转到DOS字符界面
cd c\:inetpub\AdminScripts
运行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
在本机控制面板添加/删除程序→添加/删除WINDOWS组件→增加证书服务。安装证书服务。
在安装证书过程中,选择 “Enterprise Root”类型。
2.创建虚拟目录
程序→管理工具→INTERNET服务器管理器→INTERNET信息服务界面
在默认WEB站点内,建立虚拟目录“IISADMPWD”,应一字不错,切记。选择路径:c:\winnt\system32\inetsrv\iisadmpwd 。如果你安装IIS没改目录的话,就是这个目录了。如果改了目录,你需要找到IISADMPWD目录。如果没有此目录,则你证书安装有问题。安装权限选择“读取、运行脚本”。在IISADMPWD目录上选属性--目录安全性—匿名访问和验证控制—编辑—勾选匿名访问,确定退出。
3. 转到DOS字符界面
cd c\:inetpub\AdminScripts
运行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
4.修改Exchange服务器上的注册表以允许用户通过OWA修改密码:
在Exchange服务器上打开注册表,并展开至
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSEchangeWEB\OWA
双击该项下的DisablePassword值,将其数值数据设为0。另外如果您的Exchange环境包含前端-后端配置的话,则需要分别在前端和后端服务器上设置该注册表项。
5.在the Web server申请证书请求
a.请打开IIS
b.右键单击需要建立SSL的站点,并单击属性.
c.单击目录安全性, 然后单击 服务器证书,这将会弹出一个向导窗口
d.单击下一步 ->创建一张新证书.
e.单击下一步->现在申请证书, 但以后发送.
f.单击下一步, 填入证书名字.
g.单击下一步, 键入 机构 和机构单元.
h.单击下一步, 填入通用名. 通用名必须与服务器的FQDN名字相同.如果URL是 [url]https://www.mydomain.com/securedir[/url], 则通用名需为 [url]www.mydomain.com.[/url]
i.单击下一步, 填入国家 等信息
j.单击下一步, and保存该文件,并继续直至结束
6. 通过web向CA发送证书申请请求并颁发下载该证书:
a.在IE中打开 [url]http:///certsrv[/url], 选择 Request a certificate.
注意:不要使用"localhost" 代替机器名.; certsrv一定要小写
b.单击 Next 并选择 Advanced request.
c.单击Next并选择Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file.
d.单击Next, 打开您已保存的文件,将该文件中所有的内容复制填入Base64 Encoded Certificate Request文本框.
e.单击Submit. 可能会出现Certificate Pending 。. 如果弹出要您下载, 请跳到步骤 2j.
f.在Certificate Server上, 打开 Certification Authority(证书颁发机构) MMC.
g.召开CA,单击 Pending Requests 右键单击您申请的请求,选择 All Tasks-> Issue.
h.在IE中打开 [url]http:///certsrv[/url] ,选择Check on a pending certificate.
i.单击 Next, 选择您所申请的证书
j.击Next, 选择DER encoded, 然后单击 Download CA certificate 将该证书保存在web server的本地硬盘上。
6.
a.打开IIS,右键单击需要建立SSL的站点,并单击属性
b.单击目录安全性, 然后单击 服务器证书,这将会弹出一个向导窗口
c.选择”处理挂起的请求并安装证书”
d.单击下一步,选择已下载的证书,继续直至完成所有的操作
7. 打开IIS,打开Exchange虚拟目录的属性,打开“目录安全性“,点击最下面的一个“编辑”按钮,在跳出的对话框中选中”需要安全通道“复选框“,具体的配置见下图(暂无).
8.在OWA中选项“更改密码”已经可以正常显示修改口令的页面了,输入域、账户、旧密码、新密码后“OK" 即可出现密码更改成功页面。
在Exchange服务器上打开注册表,并展开至
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSEchangeWEB\OWA
双击该项下的DisablePassword值,将其数值数据设为0。另外如果您的Exchange环境包含前端-后端配置的话,则需要分别在前端和后端服务器上设置该注册表项。
5.在the Web server申请证书请求
a.请打开IIS
b.右键单击需要建立SSL的站点,并单击属性.
c.单击目录安全性, 然后单击 服务器证书,这将会弹出一个向导窗口
d.单击下一步 ->创建一张新证书.
e.单击下一步->现在申请证书, 但以后发送.
f.单击下一步, 填入证书名字.
g.单击下一步, 键入 机构 和机构单元.
h.单击下一步, 填入通用名. 通用名必须与服务器的FQDN名字相同.如果URL是 [url]https://www.mydomain.com/securedir[/url], 则通用名需为 [url]www.mydomain.com.[/url]
i.单击下一步, 填入国家 等信息
j.单击下一步, and保存该文件,并继续直至结束
6. 通过web向CA发送证书申请请求并颁发下载该证书:
a.在IE中打开 [url]http:///certsrv[/url], 选择 Request a certificate.
注意:不要使用"localhost" 代替机器名.; certsrv一定要小写
b.单击 Next 并选择 Advanced request.
c.单击Next并选择Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file.
d.单击Next, 打开您已保存的文件,将该文件中所有的内容复制填入Base64 Encoded Certificate Request文本框.
e.单击Submit. 可能会出现Certificate Pending 。. 如果弹出要您下载, 请跳到步骤 2j.
f.在Certificate Server上, 打开 Certification Authority(证书颁发机构) MMC.
g.召开CA,单击 Pending Requests 右键单击您申请的请求,选择 All Tasks-> Issue.
h.在IE中打开 [url]http:///certsrv[/url] ,选择Check on a pending certificate.
i.单击 Next, 选择您所申请的证书
j.击Next, 选择DER encoded, 然后单击 Download CA certificate 将该证书保存在web server的本地硬盘上。
6.
a.打开IIS,右键单击需要建立SSL的站点,并单击属性
b.单击目录安全性, 然后单击 服务器证书,这将会弹出一个向导窗口
c.选择”处理挂起的请求并安装证书”
d.单击下一步,选择已下载的证书,继续直至完成所有的操作
7. 打开IIS,打开Exchange虚拟目录的属性,打开“目录安全性“,点击最下面的一个“编辑”按钮,在跳出的对话框中选中”需要安全通道“复选框“,具体的配置见下图(暂无).
8.在OWA中选项“更改密码”已经可以正常显示修改口令的页面了,输入域、账户、旧密码、新密码后“OK" 即可出现密码更改成功页面。
在OWA修改密码的时候总是提示:" 密码太短,或不满足密码唯一性限制."
原因及解决方法:
在OWA中,凡是修改密码成功后又失败,并提示密码长度不对或唯一性不足的情况,请在域控制器策略里按以下设置调整:
密码必须符合复杂性要求: 已禁用
密码长度最小值: 没有定义
密码最短使用期限: 45天
密码最长使用期限: 0天(可立即更改)
(此策略默认是每次修改需间隔24小时,而系统提示则是"密码长度不对或唯一性不足",一定要注意!)强制密码历史: 0个
用可还原的加密来储存密码: 已禁用
修改完以后,请一定记得手工刷新组策略。(注意:刷新这个策略很关键,不刷新前面的更改是没有用的。)
具体操作:
开始->运行-> gpupdate /force(运行了这一步,才算是确认了修改,不然就等24小时后方能生效。)
在OWA中,凡是修改密码成功后又失败,并提示密码长度不对或唯一性不足的情况,请在域控制器策略里按以下设置调整:
密码必须符合复杂性要求: 已禁用
密码长度最小值: 没有定义
密码最短使用期限: 45天
密码最长使用期限: 0天(可立即更改)
(此策略默认是每次修改需间隔24小时,而系统提示则是"密码长度不对或唯一性不足",一定要注意!)强制密码历史: 0个
用可还原的加密来储存密码: 已禁用
修改完以后,请一定记得手工刷新组策略。(注意:刷新这个策略很关键,不刷新前面的更改是没有用的。)
具体操作: