原文地址:http://www.it165.net/admin/html/201212/577.html
最近看到博客中不少朋友都在說Office Web Apps證書相關的問題,爲此在這裏我主要的來跟大家一起交流下Office Web Apps證書的相關內容。從我們目前的部署來說,想必所有朋友都知道Office Web Apps服務器需要證書進行加密,從而實現Lync內部到內部、內部到外部的WAC加密。這裏所說的WAC主要指我們Office Web Apps提供的PowerPoint演示功能。
最近看到博客中不少朋友都在說Office Web Apps證書相關的問題,爲此在這裏我主要的來跟大家一起交流下Office Web Apps證書的相關內容。從我們目前的部署來說,想必所有朋友都知道Office Web Apps服務器需要證書進行加密,從而實現Lync內部到內部、內部到外部的WAC加密。這裏所說的WAC主要指我們Office Web Apps提供的PowerPoint演示功能。
按理說這應該是非常簡單的東西,但有一些情況需要和大家交流一下。比如我們的Office Web Apps服務器需要什麼證書?是IIS向域中CA申請一張證書?還是使用邊緣服務器的證書?還是直接使用公網CA頒發的證書?在前面部署Office Web Apps服務器這一篇文章中我並沒有詳細的去跟大家分享Office Web Apps服務器到底需要什麼證書,僅僅是幾句話帶過。這是因爲Office Web Apps並沒有哪一種證書的說法,而是任意證書均可,但無論什麼證書都需要滿足以下:
- 1、證書中包含了OWA的使用者名稱SN或備選使用者名稱SAN;
- 2、可以是單獨的證書也可以是邊緣服務器Internet接口所使用的證書,需要在SAN中包含OWA服務器的內外部地址;
- 3、可以是公網也可以是域內CA頒發的證書;
- 4、證書需要有私鑰;
- 5、證書類型必須是服務器身份驗證;
- 6、證書模板必須是以Web服務器爲基礎;
- 7、證書需要擁有唯一的友好名稱;
- 8、可以包含吊銷列表CRL信息,也可以不包含;
- 9、若包含CRL信息,則CRL必須至少有一條可被客戶端訪問;
- 10、更換證書後需要使用New-OfficeWebAppFarm命令重建OWAFarm;
- 11、最好不要手動通過IIS指定OWA證書。
在瞭解以上的要求後,我們就可以通過各種方式來創建OWA所需要的證書了,這裏主要的途徑還是通過向域中的CA申請、頒發證書。然而申請的話我建議大家通過Lync邊緣服務器中的Lync Server部署嚮導中的步驟三,因爲這裏我們可以在申請邊緣服務器Internet接口證書時順便就申請OWA的證書了,在後面就只需要導出帶私鑰的邊緣證書安裝在OWA服務器上即可。
在這裏無論我們現在的邊緣公共Internet證書是已經分配好的還是沒有,我們都重新進行請求。
這裏我只做一些關鍵步驟的截圖和說明,其他的大家可以參考下之前的證書申請。
在名稱和安全設置頁面,確保“將證書的私鑰標記爲可導出”選項是選中的。
在配置其他使用者替代名稱頁面至少保證有下圖中的兩個名稱,即OWA的內外部訪問地址和Lync自動發現。如果有TMG且TMG的外部名稱不一樣,那麼最好也加上TMG的FQDN和名稱;如果OWA的內外部地址不同,必須區分內外部地址分別添加在這裏,比如外部是Office.contoso.com,內部是owa.contoso.com,需要兩個都添加。
完成後打開req文件複製全文準備去內部CA申請證書。需要注意證書的申請、頒發、導入申請服務器這三個步驟均是相對應,且是一次性的。所以千萬要對應,比如在哪個服務器上申請就在哪個服務器上導入,即便我們的證書是專門給OWA申請,也必須先導入邊緣,再從邊緣導出帶私鑰的證書到OWA上。
進行證書申請,證書模板選擇Web服務器即可。
下載證書即可,如果邊緣服務器沒有CA根證書,那就下載證書鏈,證書鏈包含了CA根證書和申請的證書。www.it165.net
然後打開MMC證書-本地計算機,個人-所有任務-導入,將剛剛申請的證書導入進來。需要注意的是隻要操作正確,無論是CER格式還是P7B證書鍊形式的證書,都是會有私鑰的。如果沒有,就說明操作有問題。
然後我們再到Lync Server邊緣服務器的部署嚮導-證書嚮導-選擇Internet證書進行分配。在分配的時候一定要選擇我們剛剛申請的Internet證書而不要選擇內部的。
然後我們在證書管理單元中將證書導出。
導出時一定要選擇“是,導出私鑰”,否則證書到OWA上也是沒有用的。
然後我們在OWA服務器上進行證書的導入,注意是本地計算機的個人證書,而不是個人帳戶的個人證書。
選擇剛剛導出的證書,如果沒有問題的話,這裏一定是一個pfx格式的證書,需要我們在導入證書的對話框中更改打開按鈕上方的擴展格式爲“個人信息交換”。
然後輸入剛纔導出時設置的密碼,進行證書導入。
導入完成後我們雙擊證書看下使用者可選名稱以及相關的信息是否正常。特別是要記住最下方的證書友好名稱,因爲在設置OWA場時會用到。
確定無誤後,我們通過New-OfficeWebAppFarm命令來重新設置OWA場:
New-OfficeWebAppsFarm -InternalUrl "https://owa.contoso.com" -ExternalUrl "https://owa.contoso.com" –CertificateName "OfficeWebAppCert" -EditingEnabled
這裏的InternalURL是OWA內部地址,是所有域內服務器、客戶端能夠解析的地址,ExternalUrl則是外部地址,是外部客戶端能夠解析、訪問的地址。可以一樣也可以不一樣,根據環境安排。
到此我們OWA證書的瞭解、請求、申請、頒發、導入、導出、指派就全部完成了,可能大家在使用的過程中會遇到一些問題,比較經典的證書信任問題、證書無效等問題。畢竟OWA是一個新的服務器角色,所以難免會遇到這些問題,但相信大家在瞭解今天的內容後,應該在OWA證書這一塊不會再有很多疑慮。如果大家有任何問題,歡迎隨時回覆文章,我會盡快的和大家交流,我們一起學習、進步。