Exchange2010证书攻略
上篇文档中我们搭建了Exchange2010邮件服务器的DAG,基本完成了Exchange服务器所有角色的部署。接下来就要对Exchange的服务器角色进行各种配置,例如配置接收连接器,发送连接器,OWA,Outlook Anywhere等等…..今天要为大家介绍的是如何在Exchange服务器上申请证书以及为证书分配服务。
首先介绍证书是因为Exchange2010中的证书要求比Exchange2003更高,而且Exchange很多服务都需要证书的支持,因此我们首先拿证书开场。证书申请的颁发机构可以使用自己创建的,也可以到商业CA购买。我们推荐自己创建CA,毕竟到商业CA购买一个证书需要8000RMB/年,而且申请起来远远没有私有CA这么灵活。
Exchange2010需要使用多域名证书,这是因为当Outlook或OWA连接Exchange服务器时,需要服务器出示一个mail.contoso.com的证书;当使用自动发现功能时,需要服务器出示一个autodiscover.contoso.com的证书;当需要访问旧的Exchange2003服务器时,客户端需要Exchange2010服务器出示一个legacy.contoso.com的证书。Exchange服务器上只能挂一个证书,这个证书要同时满足这么多的命名需求,就只能使用多域名证书了。多域名证书允许在一个证书上同时绑定多个证书名称,使用起来和通配符证书有些类型,但细究起来很是有分别的。通配符证书一般用于同一域内,例如证书需要多个域名,但每个证书的域名后缀都相同,都是contoso.com,那么这时可以使用通配符证书*.contoso.com,这样更简单一些。如果证书上的多个域名后缀不同,例如证书上同时需要mail.contoso.com和mail.fabrikam.com,那使用通配符证书就不太方便了,还是老老实实配置多域名吧。
一、申请证书
在Exchange服务器上打开EMC控制台,切换到服务器节点,点击右侧任务栏中的“新建Exchange证书”。如图1所示,出现Exchange证书向导。首先要输入证书的友好名称后,证书的友好名称仅仅用于标示证书,可以随意命名。
图1
接下来要选择是否启用通配符证书,如果证书的后缀都相同,可以使用通配符,例如*.contoso.com,这样更方便一些。如果证书的域名后缀不同,通配符证书就不太合适了。
图2
证书向导设计了很多Exchange的应用场景,如图3所示,要求我们输入证书应用于不同场景时的名称。其实这里可以不用仔细审阅,要是嫌麻烦,直接跳过就可以。Why?看下面的就明白了。
图3
看看图4就明白了,这里可以直接输入证书名称,比图3要方便得多。一般来说,证书的名称要包含下列几个:1是Exchange服务器的计算机名,本例中是cashub1.congoto.com和cashub2.contoso.com;2是Exchange服务器CAS阵列的计算机名,本例中是mail.contoso.com;3是outlook自动发现的保留计算机名,这个名称必须是autodiscover.contoso.com;4是旧版本Exchange的保留名称,本例中是legacy.contoso.com。要注意的是,legacy.contoso.com的域名要解析到旧版本的Exchange2003前端服务器。这里要稍微解释一下,当旧版本Exchange和Exchange2010并存时,要确保用户首先访问到Exchange2010的CAS服务器。当用户访问到Exchange2010的CAS服务器后,如果用户访问的邮箱隶属于Exchange2010,CAS服务器会自动跳转到Exchange2010的邮箱服务器;如果用户访问的邮箱隶属于旧的Exchange服务器,CAS服务器就会自动跳转到legacy.contoso.com服务器,由legacy.contoso.com再跳转到旧版本Exchange的邮箱服务器。因此legacy.contoso.com的IP地址一定要对应旧版本Exchange的前端服务器。
图4
如图5所示,接下来要填写证书的一些地理信息,这些信息都是无关紧要的。填写完这些信息后,我们需要把申请证书填写的这些参数保存到一个文件中,本例中我们保存到了c:\exchange-cer.req文件中,这个文件我们接下来要用到。
图5
如图6所示,点击“新建”按钮,证书请求参数就会写入到指定的文件中。
图6
点击“完成”,结束证书申请的第一阶段工作。刚才我们收集了请求证书的各项参数,接下来要真正开始申请证书了。
图7
CA服务器我们部署在域控制器上,如图8所示,在Exchange服务器上打开浏览器,输入http://dcserver/certsrv,选择“申请证书”。
图8
如图9,选择“提交一个高级证书申请”。
图9
如图10所示,选择使用Base64编码提交证书申请。
图10
如图11所示,用记事本打开c:\exchange-cer.req文件,将文件内容全部复制到证书申请框中。证书模板选择“Web服务器”,点击“提交”按钮。
图11
如图12所示,申请的证书已经颁发,点击“下载证书”,按系统提示把证书保存到指定的文件中,这样算是完成了证书申请的第二阶段工作。
图12
在Exchange服务器的EMC控制台中右键点击挂起的证书申请,如图13所示,选择“完成搁置请求”。
图13
如图14所示,按系统提示,定位到CA服务器颁发的证书文件,点击“完成”按钮,就可以结束证书申请工作了。
图14
如图15所示,第一台Exchange服务器已经完成了证书申请工作。
图15
二、证书导出/导入
第一台Exchange CAS服务器申请完证书后,我们可以把申请的证书直接导出给第二台CAS服务器,这样可以避免在第二台CAS服务器上重新申请证书。如图20所示,在Exchange的EMC中右键点击第一台CAS服务器的证书,选择“导出Exchange证书”。
图20
如图21所示,证书需要导出为pfx格式,pfx格式证书需要输入一个私钥保护密码,以免被未授权人员轻易导入。
图21
第一台CAS服务器导出证书后,如图22所示,我们在EMC中右键点击第二台CAS服务器,选择“导入Exchange证书”。
图22
导入证书需要输入pfx文件名以及私钥保护密码。
图23
如图24所示,我们选择在第二台CAS服务器上导入证书。
图24
点击“导入”按钮,开始证书导入工作。
图25
如图26所示,证书导入完成,现在两台CAS服务器上都已经有证书。由于客户机并不直接访问邮箱服务器,因此两台邮箱服务器就不用申请证书了。
图26
三、证书分配服务
两台CAS服务器拥有证书后,我们要发挥证书的作用,把证书和Exchange服务关联起来。一般来说,证书肯定会用在网站服务,另外,SMTP,POP3或IMAP也可能会使用证书。在Exchange服务器的EMC中右键点击证书,选择“为证书分配服务”,如图17所示,选择要分配服务的Exchange服务器,我们需要把两台CAS服务器都选中。
图17
如图18所示,我们为证书分配了POP,IIS及SMTP服务。这个选择要视具体的业务需求而定,有可能其他企业还需要分配IMAP或统一消息服务。
图18
如图19所示,向导提示要使用申请到的证书覆盖SMTP使用的自签名证书,点击“是”同意覆盖。其实Exchange服务器安装完成后会安装一个自签名证书,这个证书是Exchange服务器自己颁发给自己的,因此客户机都不信任证书,使用起来不方便。因此我们才需要费点心思为Exchange服务器手工申请证书,本文结束后,相信大家对Exchange申请证书有了一定的认识。下次我们将为大家介绍如何进行Exchange服务器后续的配置。
图19
本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/782320,如需转载请自行联系原作者