架構如下
主域控:DCS-01 192.168.2.20
輔域控:DCS-02 192.168.2.21
證書伺服器:CER-01 192.168.2.31
用戶端通路伺服器01: CAS-01 192.168.2.23 CAS Array:22
用戶端通路伺服器02: CAS-02 192.168.2.24
郵箱傳輸伺服器01:HUB-01 192.168.2.25 NLB:27
郵箱傳輸伺服器02:HUB-02 192.168.2.26
郵箱伺服器01:MBX-01 192.168.2.28 DAG:30
郵箱伺服器02:MBX-02 192.168.2.29
Exchange Server證書如果不配置的話,給用戶端的體驗會變差,WEB登入或outlook使用時都會影響使用者的體驗
如下圖:
<a href="http://s5.51cto.com/wyfs02/M01/7A/DD/wKiom1bAfhvBqEOBAAFiNB6qn84788.jpg" target="_blank"></a>
下面為Exchange CAS/HUB伺服器配置企業内部的證書。
注:個人經驗,不代表别人。在企業中,證書伺服器最好是單獨的一台機器。這樣在以後的管理和系統更新或遷移時不用考慮過多的點,使操作能夠友善一些。
過程分為如下幾步
部署證書伺服器
建立證書申請檔案
申請證書
配置設定服務
一、部署證書伺服器
1.1添加“角色”,選擇“Active Directory證書服務”
<a href="http://s3.51cto.com/wyfs02/M00/7A/DD/wKiom1bAfn2SJ4YYAAH-EtXSg2k360.jpg" target="_blank"></a>
1.2證書服務簡介圖略。下一步如圖選擇
<a href="http://s1.51cto.com/wyfs02/M00/7A/DD/wKioL1bAfu-yWtnOAAGjcQ2XygQ808.jpg" target="_blank"></a>
1.3安裝類型、CA類型、私鑰、加密保持預設圖略。配置CA名稱如圖
<a href="http://s3.51cto.com/wyfs02/M00/7A/DD/wKioL1bAfy6xr4vfAAHXAGQK1pg846.jpg" target="_blank"></a>
1.4設定有效期,預設為5年,微軟産品周期一般為5年。此項預設即可
1.5後面的選項保持預設值,最後提示“安裝成功”
二、建立證書申請檔案
2.1打開Exchange控制台--伺服器配置--建立Exchange證書
<a href="http://s2.51cto.com/wyfs02/M02/7A/DD/wKioL1bAgGuDiatMAAKOo4dDHOI546.jpg" target="_blank"></a>
2.2輸入一個證書的名稱,為了友善記憶,此名稱和域名一緻
<a href="http://s1.51cto.com/wyfs02/M01/7A/DD/wKioL1bAgMWTkSPfAAC3VJ4tHkI887.jpg" target="_blank"></a>
2.3不啟用通配符證書(圖略)。Exchange配置:如圖勾選這二項就可以
<a href="http://s2.51cto.com/wyfs02/M01/7A/DD/wKiom1bAgHSRlh8iAAHn8Kw8OL8801.jpg" target="_blank"></a>
2.4選擇域名清單,此處選擇mail的選項。清單中自動列出所有的用戶端通路角色,如下圖中的CAS01、02
<a href="http://s1.51cto.com/wyfs02/M02/7A/DD/wKioL1bAgOiif2IFAAEVPukBfNs152.jpg" target="_blank"></a>
2.5“組織和位置”對話框中,設定使用者的相關資訊,友善記憶随便填寫即可,【浏覽】把導出req的檔案放在桌面,點選【下一步】-【建立】按鈕。
<a href="http://s2.51cto.com/wyfs02/M00/7A/DD/wKiom1bAgK2A3uCPAAGwGQ6Tui4910.jpg" target="_blank"></a>
2.6導出成功
<a href="http://s1.51cto.com/wyfs02/M02/7A/DD/wKioL1bAgSWQZv8TAAIY8Cvplrs382.jpg" target="_blank"></a>
三、申請證書
<a href="http://s3.51cto.com/wyfs02/M00/7A/DD/wKiom1bAgOqhKcvoAAKApo5SPeQ036.jpg" target="_blank"></a>
3.2單擊“進階證書申請”超連結
<a href="http://s1.51cto.com/wyfs02/M01/7A/DD/wKiom1bAgQyQpZfBAAFlUZPvs_8084.jpg" target="_blank"></a>
3.3單擊“使用base64”超連結
<a href="http://s4.51cto.com/wyfs02/M02/7A/DD/wKiom1bAgS7yPtsIAAHvU0AuUlw192.jpg" target="_blank"></a>
3.4用記事本打開剛才導出到桌面上的request.req證書申請檔案。全選複制裡面的内容
<a href="http://s3.51cto.com/wyfs02/M02/7A/DD/wKioL1bAga2BXEmEAAS_Wq3W1iA029.jpg" target="_blank"></a>
3.5粘貼到“儲存的申請”文本框中,“證書模闆”選擇“web伺服器”,單擊【送出】
<a href="http://s2.51cto.com/wyfs02/M00/7A/DD/wKiom1bAgZHBH_ePAAKNrb6Vr2o842.jpg" target="_blank"></a>
3.6單擊“下載下傳證書”超連結,單擊【儲存】将certnew.cer證書檔案儲存到桌面
<a href="http://s3.51cto.com/wyfs02/M01/7A/DD/wKioL1bAgiXAi1siAAJFmFtjAsc656.jpg" target="_blank"></a>
四、配置設定服務
4.1完成擱置請求
<a href="http://s5.51cto.com/wyfs02/M02/7A/DD/wKiom1bAge_B3zh_AAIGMrk1aI8515.jpg" target="_blank"></a>
4.2點選【浏覽】選擇剛才導出的certnew.cer證書檔案
<a href="http://s4.51cto.com/wyfs02/M00/7A/DD/wKioL1bAgnaRErwpAAEAdaA7nfw192.jpg" target="_blank"></a>
4.3完成擱置請求
<a href="http://s2.51cto.com/wyfs02/M00/7A/DD/wKiom1bAglfzaB8HAAEUoo8jyeY694.jpg" target="_blank"></a>
注:(1)如果出現證書無效錯誤,如下圖所示
<a href="http://s2.51cto.com/wyfs02/M01/7A/DD/wKiom1bAgnSzpJfJAADArfs0nx0675.jpg" target="_blank"></a>
(2)出現上圖中的錯誤,是該伺服器還沒有安裝企業的證書,該證書在重新開機後自動安裝,如果不想重新開機,打開cmd輸入gpupdate /force。該證書就安裝成功了。下圖是運作指令後的顯示。再重複上面的操作,即可完成擱置請求。
<a href="http://s3.51cto.com/wyfs02/M02/7A/DD/wKiom1bAgoWS6zv5AAOZABZN7ns505.jpg" target="_blank"></a>
4.4為證書配置設定服務
<a href="http://s5.51cto.com/wyfs02/M02/7A/DD/wKioL1bAgyOxiZ46AADJbQoQj2o122.jpg" target="_blank"></a>
4.5選擇伺服器
<a href="http://s2.51cto.com/wyfs02/M00/7A/DD/wKioL1bAgzfwvME3AADimCs9iB8573.jpg" target="_blank"></a>
4.6如圖選擇要配置設定的服務,由于此架構中CAS和HUB是分開部署的,SMTP服務在HUB上,在為HUB-01、02配置設定時,選中SMTP。(如果選中,會出現第二個圖檔的錯誤提示)
<a href="http://s3.51cto.com/wyfs02/M02/7A/DD/wKiom1bAgvbimGKtAAD9fObXU6M683.jpg" target="_blank"></a>
<a href="http://s5.51cto.com/wyfs02/M01/7A/DD/wKioL1bAg2rTR0z4AADMsC8_a4Y482.jpg" target="_blank"></a>
4.7确認覆寫
<a href="http://s3.51cto.com/wyfs02/M01/7A/DD/wKioL1bAg4DjbmvyAAFsaAhSIAg373.jpg" target="_blank"></a>
4.8導出上面建立的證書
<a href="http://s2.51cto.com/wyfs02/M00/7A/DE/wKiom1bAhAPDFe18AAHNRQpsVro509.jpg" target="_blank"></a>
4.9導入證書,用剛才導出的證書為CAS-02、HUB-01、HUB-02配置設定服務,下圖為CAS-02導入,其它伺服器步驟相同
<a href="http://s3.51cto.com/wyfs02/M01/7A/DE/wKiom1bAhEnBWbYeAAM9RBhdjpU088.jpg" target="_blank"></a>
4.10HUB-02服務配置設定成功
<a href="http://s1.51cto.com/wyfs02/M01/7A/DE/wKiom1bAhIODbJ_qAADDiqTcSJY026.jpg" target="_blank"></a>
4.11删除所有的自簽名證書
<a href="http://s1.51cto.com/wyfs02/M02/7A/DE/wKiom1bAhKazKUUwAAC5ZJcqwu0540.jpg" target="_blank"></a>
4.12打開web登入測試
本文轉自cix123 51CTO部落格,原文連結:http://blog.51cto.com/zhaodongwei/1741972,如需轉載請自行聯系原作者
![最後1天!阿裡雲雙11拼團入官方熱薦團直享最低折扣!還有機會瓜分百萬現金![圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)