最近看到博客中不少朋友都在說Office Web Apps證書相關的問題,爲此在這裏我主要的來跟大家一起交流下Office Web Apps證書的相關內容。從我們目前的部署來說,想必所有朋友都知道Office Web Apps服務器需要證書進行加密,從而實現Lync內部到內部、內部到外部的WAC加密。這裏所說的WAC主要指我們Office Web Apps提供的PowerPoint演示功能。
- 1、證書中包含了OWA的使用者名稱SN或備選使用者名稱SAN;
- 2、可以是單獨的證書也可以是邊緣服務器Internet接口所使用的證書,需要在SAN中包含OWA服務器的內外部地址;
- 3、可以是公網也可以是域內CA頒發的證書;
- 4、證書需要有私鑰;
- 5、證書類型必須是服務器身份驗證;
- 6、證書模板必須是以Web服務器爲基礎;
- 7、證書需要擁有唯一的友好名稱;
- 8、可以包含吊銷列表CRL信息,也可以不包含;
- 9、若包含CRL信息,則CRL必須至少有一條可被客戶端訪問;
- 10、更換證書後需要使用New-OfficeWebAppFarm命令重建OWAFarm;
- 11、最好不要手動通過IIS指定OWA證書。
在這裏無論我們現在的邊緣公共Internet證書是已經分配好的還是沒有,我們都重新進行請求。
這裏我只做一些關鍵步驟的截圖和說明,其他的大家可以參考下之前的證書申請。
在配置其他使用者替代名稱頁面至少保證有下圖中的兩個名稱,即OWA的內外部訪問地址和Lync自動發現。如果有TMG且TMG的外部名稱不一樣,那麼最好也加上TMG的FQDN和名稱;如果OWA的內外部地址不同,必須區分內外部地址分別添加在這裏,比如外部是Office.contoso.com,內部是owa.contoso.com,需要兩個都添加。
完成後打開req文件複製全文準備去內部CA申請證書。需要注意證書的申請、頒發、導入申請服務器這三個步驟均是相對應,且是一次性的。所以千萬要對應,比如在哪個服務器上申請就在哪個服務器上導入,即便我們的證書是專門給OWA申請,也必須先導入邊緣,再從邊緣導出帶私鑰的證書到OWA上。
進行證書申請,證書模板選擇Web服務器即可。
下載證書即可,如果邊緣服務器沒有CA根證書,那就下載證書鏈,證書鏈包含了CA根證書和申請的證書。www.it165.net
然後打開MMC證書-本地計算機,個人-所有任務-導入,將剛剛申請的證書導入進來。需要注意的是隻要操作正確,無論是CER格式還是P7B證書鍊形式的證書,都是會有私鑰的。如果沒有,就說明操作有問題。
然後我們再到Lync Server邊緣服務器的部署嚮導-證書嚮導-選擇Internet證書進行分配。在分配的時候一定要選擇我們剛剛申請的Internet證書而不要選擇內部的。
然後我們在證書管理單元中將證書導出。
導出時一定要選擇“是,導出私鑰”,否則證書到OWA上也是沒有用的。
然後我們在OWA服務器上進行證書的導入,注意是本地計算機的個人證書,而不是個人帳戶的個人證書。
選擇剛剛導出的證書,如果沒有問題的話,這裏一定是一個pfx格式的證書,需要我們在導入證書的對話框中更改打開按鈕上方的擴展格式爲“個人信息交換”。
然後輸入剛纔導出時設置的密碼,進行證書導入。
導入完成後我們雙擊證書看下使用者可選名稱以及相關的信息是否正常。特別是要記住最下方的證書友好名稱,因爲在設置OWA場時會用到。
確定無誤後,我們通過New-OfficeWebAppFarm命令來重新設置OWA場:
到此我們OWA證書的瞭解、請求、申請、頒發、導入、導出、指派就全部完成了,可能大家在使用的過程中會遇到一些問題,比較經典的證書信任問題、證書無效等問題。畢竟OWA是一個新的服務器角色,所以難免會遇到這些問題,但相信大家在瞭解今天的內容後,應該在OWA證書這一塊不會再有很多疑慮。如果大家有任何問題,歡迎隨時回覆文章,我會盡快的和大家交流,我們一起學習、進步。