熟悉Exchange的知道, Exchange需要证书支持,exchange安装之后会默认开启ssl,在IE中只能使用https来访问owa。如果没有证书,使用owa时是会有告警提示。
要想取消警告信息,需为Exchange服务器颁发受信任的证书(默认Exchange安装好后会为自己签发一个自签名证书)。要为Exchange颁发证书就需要在企业中的CA服务器为Exchange颁发证书或者在公网CA机构为Exchange申请证书(公网一般采用申请证书后绑定企业域名的方式)。此处我们采用搭建自己的企业CA来实现,这也是多数企业采用的解决方案。
1、安装企业CA
以管理员身份登录DC服务器(此处我们将CA搭建在我们的域控中,生产环境建议独立部署)。
打开服务器管理器---添加角色和功能---Active Directory证书服务
点击“下一步”
选择证书颁发机构、证书颁发机构web注册 ,点击“下一步”
点击“下一步”
点击“安装”,完成后点击“关闭”
2、配置企业CA
在服务器管理器上,选择通知(黄色叹号)---配置目标服务器上的Active Directory证书服务
点击“下一步”
选择 证书颁发机构 和 证书颁发机构web注册,点击“下一步”
选择“企业CA”点击“下一步”
选择“根CA” 点击“下一步”
点击“下一步”
点击“下一步”
点击“下一步”
选择证书默认有效期 ,点击“下一步”
选择证书存放位置,点击“下一步”
选择 配置
完成后选择“关闭” ,完成证书服务器配置
3、生成Exchange证书请求文件
在浏览器中输入 https://<mail/cas fqdn>/ECP 打开 EAC,输入用户名和密码
转到“服务器”---“证书”。 在“证书”页面,确保在“选择服务器”字段中选择了客户端访问服务器(这里首先配置cas01),然后单击“ ”
在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。
指定此证书的名称,然后单击“下一步”。
我们不申请通配符证书,保持默认,点击“下一步”
单击“浏览”,指定用于存储证书的 Exchange 服务器。服务器应是面向 Internet 的客户端访问服务器。单击“下一步”。
为列表中显示的每个服务指定用户将用来连接到 Exchange 服务器的外部或内部服务器名称。 例如,对于“Outlook Web App (从 Internet 访问)”,您可以指定 mail.contoso.com。 对于“OWA (从 Intranet 访问)”,您可以指定 CAS01.contoso.com。这些域将用于创建 SSL 证书申请。单击“下一步”。
添加要在 SSL 证书中包括的其他客户端访问服务器或者其他域名。并设置默认域名,单击“下一步”。
输入相关组织名称、部门名等,点击“下一步”
选择证书保存网络位置和名字,点击“完成”
注意:此路径必须为共享路径,并具有写入权限
4、申请Exchange证书
浏览器中打开CA证书http://dc01.contoso.com/certsrv,输入域管理员用户名和密码,选择“申请证书”
选择“高级证书申请”
选择“使用base64编码的…”
然后使用记事本打开刚才生成的req证书请求文件,并复制内容
将复制内容粘贴到“Base-64编码的证书申请”中,证书模板选择“Web服务器”,点击“提交 ”
选择“下载证书”
并将证书文件保持到共享路径上
5、完成Exchange证书
通过浏览到 https://<mail/casfqdn>/ECP 打开 EAC,输入用户名和密码
导航到EAC 的“服务器”---“证书”页面,选择之前步骤中创建的证书申请。在证书申请的详细信息窗格中,单击“状态”下面的“完成”。
输入申请证书的共享路径,点击“确定”,完成证书申请
切换到“服务”选项卡 ,选择相应服务,点击“保存”
选择“是”
完成证书分配,并检查当前证书的服务
6、导出证书为cas02分配 Exchange证书
选择之前步骤中创建的证书。单击“…”,选择“导出Exchange证书”
并设置证书导出网络路径、名称及密码,点击“确定”
检查并确认到处的Exchange证书
返回EAC控制台,导航 “服务器”---“证书”页面,选择cas02客户端访问服务器,然后单击“…” ,选择“导入Exchange证书”
选择 证书网络路径并输入私钥密码(证书导出密码),点击“下一步”
完成后选择导入的Exchange证书,点击“ ”,来为证书分配服务
切换到服务选项卡,并选择相应的服务,点击“保存”
选择“是”
完成证书服务分配,并检查当前证书的服务
7、测试证书是否生效
打开https://<mail/cas fqdn>/owa OWA界面,已经没有提示证书错误了