Office Web Apps所需證書的申請配置設定部署詳解

最近看到部落格中不少朋友都在說Office Web Apps證書相關的問題，為此在這裡我主要的來跟大家一起交流下Office Web Apps證書的相關内容。從我們目前的部署來說，想必所有朋友都知道Office Web Apps伺服器需要證書進行加密，進而實作Lync内部到内部、内部到外部的WAC加密。這裡所說的WAC主要指我們Office Web Apps提供的PowerPoint示範功能。

按理說這應該是非常簡單的東西，但有一些情況需要和大家交流一下。比如我們的Office Web Apps伺服器需要什麼證書？是IIS向域中CA申請一張證書？還是使用邊緣伺服器的證書？還是直接使用公網CA頒發的證書？在前面部署Office Web Apps伺服器這一篇文章中我并沒有詳細的去跟大家分享Office Web Apps伺服器到底需要什麼證書，僅僅是幾句話帶過。這是因為Office Web Apps并沒有哪一種證書的說法，而是任意證書均可，但無論什麼證書都需要滿足以下：

1、證書中包含了OWA的使用者名稱SN或備選使用者名稱SAN；

2、可以是單獨的證書也可以是邊緣伺服器Internet接口所使用的證書，需要在SAN中包含OWA伺服器的内外部位址；

3、可以是公網也可以是域内CA頒發的證書；

4、證書需要有私鑰；

5、證書類型必須是伺服器身份驗證；

6、證書模闆必須是以Web伺服器為基礎；

7、證書需要擁有唯一的友好名稱；

8、可以包含吊銷清單CRL資訊，也可以不包含；

9、若包含CRL資訊，則CRL必須至少有一條可被用戶端通路；

10、更換證書後需要使用New-OfficeWebAppFarm指令重建OWAFarm；

11、最好不要手動通過IIS指定OWA證書。

在了解以上的要求後，我們就可以通過各種方式來建立OWA所需要的證書了，這裡主要的途徑還是通過向域中的CA申請、頒發證書。然而申請的話我建議大家通過Lync邊緣伺服器中的Lync Server部署向導中的步驟三，因為這裡我們可以在申請邊緣伺服器Internet接口證書時順便就申請OWA的證書了，在後面就隻需要導出帶私鑰的邊緣證書安裝在OWA伺服器上即可。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547782U6H5.png"></a>

在這裡無論我們現在的邊緣公共Internet證書是已經配置設定好的還是沒有，我們都重新進行請求。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547788gWoD.png"></a>

這裡我隻做一些關鍵步驟的截圖和說明，其他的大家可以參考下之前的證書申請。

<a href="http://reinember.blog.51cto.com/2919431/827418">http://reinember.blog.51cto.com/2919431/827418</a>

在名稱和安全設定頁面，確定“将證書的私鑰标記為可導出”選項是選中的。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547789ovwN.png"></a>

在配置其他使用者替代名稱頁面至少保證有下圖中的兩個名稱，即OWA的内外部通路位址和Lync自動發現。如果有TMG且TMG的外部名稱不一樣，那麼最好也加上TMG的FQDN和名稱；如果OWA的内外部位址不同，必須區分内外部位址分别添加在這裡，比如外部是Office.contoso.com，内部是owa.contoso.com，需要兩個都添加。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547792O9Xy.png"></a>

完成後打開req檔案複制全文準備去内部CA申請證書。需要注意證書的申請、頒發、導入申請伺服器這三個步驟均是相對應，且是一次性的。是以千萬要對應，比如在哪個伺服器上申請就在哪個伺服器上導入，即便我們的證書是專門給OWA申請，也必須先導入邊緣，再從邊緣導出帶私鑰的證書到OWA上。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547794B7FL.png"></a>

進行證書申請，證書模闆選擇Web伺服器即可。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_13565477990NdN.png"></a>

下載下傳證書即可，如果邊緣伺服器沒有CA根證書，那就下載下傳證書鍊，證書鍊包含了CA根證書和申請的證書。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547802t0YV.png"></a>

然後打開MMC證書-本地計算機，個人-所有任務-導入，将剛剛申請的證書導入進來。需要注意的是隻要操作正确，無論是CER格式還是P7B證書鍊形式的證書，都是會有私鑰的。如果沒有，就說明操作有問題。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547804xMaG.png"></a>

然後我們再到Lync Server邊緣伺服器的部署向導-證書向導-選擇Internet證書進行配置設定。在配置設定的時候一定要選擇我們剛剛申請的Internet證書而不要選擇内部的。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547807pl4P.png"></a>

然後我們在證書管理單元中将證書導出。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547809w3dg.png"></a>

導出時一定要選擇“是，導出私鑰”，否則證書到OWA上也是沒有用的。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_13565478164QQO.png"></a>

然後我們在OWA伺服器上進行證書的導入，注意是本地計算機的個人證書，而不是個人帳戶的個人證書。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547819vC74.png"></a>

選擇剛剛導出的證書，如果沒有問題的話，這裡一定是一個pfx格式的證書，需要我們在導入證書的對話框中更改打開按鈕上方的擴充格式為“個人資訊交換”。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547823VNmW.png"></a>

然後輸入剛才導出時設定的密碼，進行證書導入。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547827JQzF.png"></a>

導入完成後我們輕按兩下證書看下使用者可選名稱以及相關的資訊是否正常。特别是要記住最下方的證書友好名稱，因為在設定OWA場時會用到。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547829OaQ8.png"></a>

确定無誤後，我們通過New-OfficeWebAppFarm指令來重新設定OWA場：

這裡的InternalURL是OWA内部位址，是所有域内伺服器、用戶端能夠解析的位址，ExternalUrl則是外部位址，是外部用戶端能夠解析、通路的位址。可以一樣也可以不一樣，根據環境安排。

<a href="http://reinember.blog.51cto.com/attachment/201212/26/2919431_1356547835Dzhh.png"></a>

到此我們OWA證書的了解、請求、申請、頒發、導入、導出、指派就全部完成了，可能大家在使用的過程中會遇到一些問題，比較經典的證書信任問題、證書無效等問題。畢竟OWA是一個新的伺服器角色，是以難免會遇到這些問題，但相信大家在了解今天的内容後，應該在OWA證書這一塊不會再有很多疑慮。如果大家有任何問題，歡迎随時回複文章，我會盡快的和大家交流，我們一起學習、進步。

 本文轉自 reinxu 51CTO部落格，原文連結：http://blog.51cto.com/reinember/1101639，如需轉載請自行聯系原作者