預設情況下,Exchange 會安裝預設的自簽名證書,以便對所有網絡通信進行加密。 加密所有網絡通信要求每台 Exchange 伺服器都有一個其可以使用的 X.509 證書。 我們應該用用戶端自動信任的證書替換此自簽名證書。
“自簽名”表示僅由 Exchange 伺服器本身建立和簽署證書。 由于該證書不是由通常受信任的 CA 所建立和簽署的,預設情況下,隻有Exchange 組織中的其他 Exchange 伺服器會自動信任此證書,但是用戶端(如 Web 浏覽器、Outlook 用戶端、行動電話以及除外部電子郵件伺服器之外的其他電子郵件用戶端)都不會自動信任它。 是以,我們需要搭建自己的CA來頒發證書,讓用戶端自動信任證書替換自簽名證書。
是以,首先要在域中有CA伺服器(這裡不介紹CA伺服器的安裝)。
我的環境中,DC(pdc1.fengdian.info)承擔CA伺服器的角色。角色已經安裝好,是以我直接配置Exchange證書就好了。
打開"Exchange管理控制台",導航至【伺服器配置】,操作窗格中選擇"建立Exchange證書":
<a href="http://blog.51cto.com/attachment/201312/030147352.png" target="_blank"></a>
設定證書名稱:
<a href="http://blog.51cto.com/attachment/201312/104004924.png" target="_blank"></a>
設定證書所用域:如果勾選"啟用通配符證書",并輸入根域;我們不勾選(可根據個人環境選擇是否啟用),直接【下一步】
<a href="http://blog.51cto.com/attachment/201312/104105464.png" target="_blank"></a>
設定好Exchange配置和域資訊,不符合要求的需要手動修改:
<a href="http://blog.51cto.com/attachment/201312/104135866.png" target="_blank"></a>
設定證書作用的域清單:
<a href="http://blog.51cto.com/attachment/201312/104302643.png" target="_blank"></a>
設定證書描述資訊, 【浏覽】選擇證書請求檔案儲存的位置,需要記住這個位置,下面還會用到這個檔案,如圖示【下一步】
<a href="http://blog.51cto.com/attachment/201312/104357317.png" target="_blank"></a>
證書摘要,無誤的話點選【建立】
<a href="http://blog.51cto.com/attachment/201312/104438200.png" target="_blank"></a>
證書成功建立,并給出接下來要進行的操作步驟,如圖:
<a href="http://blog.51cto.com/attachment/201312/104500240.png" target="_blank"></a>
下載下傳證書:
<a href="http://blog.51cto.com/attachment/201312/032354521.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032356648.png" target="_blank"></a>
點選"申請證書"進行證書的申請:
<a href="http://blog.51cto.com/attachment/201312/032358148.png" target="_blank"></a>
證書類型選擇"進階申請證書"
證書類别:選擇"使用base64編碼的CMC或PKCS#10檔案送出一個證書申請"
<a href="http://blog.51cto.com/attachment/201312/032708102.png" target="_blank"></a>
打開證書申請送出界面:
打開剛才儲存的證書申請請求檔案fengdian.req,複制圖中藍色區域的内容(除去首行和尾行):
<a href="http://blog.51cto.com/attachment/201312/104611166.png" target="_blank"></a>
粘貼到下圖中的"儲存的申請"空白框中,證書模闆選擇"Web伺服器"【送出】完成送出請求.
<a href="http://blog.51cto.com/attachment/201312/104654385.png" target="_blank"></a>
可以看到證書已經通過申請,CA已經頒發。選擇"下載下傳證書" 基于Base64編碼;
<a href="http://blog.51cto.com/attachment/201312/104927741.png" target="_blank"></a>
為證書設定一個名稱并設定儲存路徑,待會需要這個證書:
<a href="http://blog.51cto.com/attachment/201312/032713189.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/104952400.png" target="_blank"></a>
儲存後,回到Exchange管理控制台。
右擊建立的證書,選擇"完成擱置請求",如圖
<a href="http://blog.51cto.com/attachment/201312/105027101.png" target="_blank"></a>
【浏覽】導航至剛才儲存的證書路徑下,并選擇證書
<a href="http://blog.51cto.com/attachment/201312/032706676.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032710571.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032715830.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/032717197.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/105127979.png" target="_blank"></a>
【完成】來執行完成擱置請求,成功完成,如圖
<a href="http://blog.51cto.com/attachment/201312/105144424.png" target="_blank"></a>
下面就開始為證書配置設定服務了,具體操作:
EMC->伺服器配置->Exchange證書,再次右擊證書名稱,選擇"為證書配置設定服務"
<a href="http://blog.51cto.com/attachment/201312/034537849.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/105209376.png" target="_blank"></a>
選擇伺服器,預設即可
<a href="http://blog.51cto.com/attachment/201312/105301575.png" target="_blank"></a>
選擇證書要配置設定到哪些服務,這裡我選擇了所有服務:
<a href="http://blog.51cto.com/attachment/201312/034543717.png" target="_blank"></a>
服務配置設定摘要檢視,點選【配置設定】執行證書服務配置設定
<a href="http://blog.51cto.com/attachment/201312/105745285.png" target="_blank"></a>
我這裡出現錯誤,錯誤提示如下,原因是"統一消息角色設定為僅在TCP模式下運作",需要将模式更改為TLS或者Dual.
<a href="http://blog.51cto.com/attachment/201312/034548843.png" target="_blank"></a>
下面開始更改"統一消息伺服器"運作模式:
EMC,導航至【統一消息】,選中伺服器,右擊"屬性",如下圖:
<a href="http://blog.51cto.com/attachment/201312/034550942.png" target="_blank"></a>
切換至"UM設定"頁籤,啟動模式由"TCP"更改為"二者都有":
<a href="http://blog.51cto.com/attachment/201312/034552678.png" target="_blank"></a>
模式更改提示需要重新開機"Microsoft 資訊存儲服務":
<a href="http://blog.51cto.com/attachment/201312/034554640.png" target="_blank"></a>
【管理工具】服務管理控制台中,重新開機Exchange資訊存儲服務,
<a href="http://blog.51cto.com/attachment/201312/035657489.png" target="_blank"></a>
服務重新開機後,回到剛才為證書配置設定服務的界面,傳回上一步,再次配置設定,如圖示
提示"是否覆寫現有預設的SMTP證書",選擇"是";
<a href="http://blog.51cto.com/attachment/201312/105822194.png" target="_blank"></a>
為統一消息啟用指紋證書嗎? 選擇"是";
<a href="http://blog.51cto.com/attachment/201312/105841488.png" target="_blank"></a>
證書服務配置設定完成:
<a href="http://blog.51cto.com/attachment/201312/105857155.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/110157907.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201312/112616606.png" target="_blank"></a>
然後就可以删除自簽名證書了。
測試Exchange證書有效性:
未配置證書前:
域内使用者打開OWA,如圖
<a href="http://blog.51cto.com/attachment/201312/110507774.png" target="_blank"></a>
配置證書後,直接跳轉到登陸憑證界面:
<a href="http://blog.51cto.com/attachment/201312/110713850.png" target="_blank"></a>
同時,域内outlook 2007用戶端也不會再顯示證書錯誤。
證書配置就到此完成了,到期前選擇續約證書就可以了.
本文轉自marbury 51CTO部落格,原文連結:http://blog.51cto.com/magic3/1340739,如需轉載請自行聯系原作者
![資料庫設計理論及應用(4)——概念結構設計1.概念模型 2.銷售子系統的分E-R圖 3.視圖的內建 4.設計基本E-R圖[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)