微软邮件系统Exchange 2013系列(八)配置Exchange证书

简介:

熟悉Exchange的知道, Exchange需要证书支持,exchange安装之后会默认开启ssl,在IE中只能使用https来访问owa。如果没有证书,使用owa时是会有告警提示。

clip_image002

要想取消警告信息,需为Exchange服务器颁发受信任的证书(默认Exchange安装好后会为自己签发一个自签名证书)。要为Exchange颁发证书就需要在企业中的CA服务器为Exchange颁发证书或者在公网CA机构为Exchange申请证书(公网一般采用申请证书后绑定企业域名的方式)。此处我们采用搭建自己的企业CA来实现,这也是多数企业采用的解决方案。

1、安装企业CA

以管理员身份登录DC服务器(此处我们将CA搭建在我们的域控中,生产环境建议独立部署)。

打开服务器管理器---添加角色和功能---Active Directory证书服务

clip_image004

clip_image006

clip_image008

点击“下一步”

clip_image010

选择证书颁发机构、证书颁发机构web注册 ,点击“下一步”

clip_image012

clip_image014

点击“下一步”

clip_image016

clip_image018

点击“安装”,完成后点击“关闭”

clip_image020

clip_image022

2、配置企业CA

在服务器管理器上,选择通知(黄色叹号)---配置目标服务器上的Active Directory证书服务

clip_image024

点击“下一步”

clip_image026

选择 证书颁发机构 和 证书颁发机构web注册,点击“下一步”

clip_image028

选择“企业CA”点击“下一步”

clip_image030

选择“根CA” 点击“下一步”

clip_image032

点击“下一步”

clip_image034

点击“下一步”

clip_image036

点击“下一步”

clip_image038

选择证书默认有效期 ,点击“下一步”

clip_image040

选择证书存放位置,点击“下一步”

clip_image042

选择 配置

clip_image044

完成后选择“关闭” ,完成证书服务器配置

clip_image046

3、生成Exchange证书请求文件

在浏览器中输入 https://<mail/cas fqdn>/ECP 打开 EAC,输入用户名和密码

转到“服务器”---“证书”。 在“证书”页面,确保在“选择服务器”字段中选择了客户端访问服务器(这里首先配置cas01),然后单击“ clip_image047

clip_image049

在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。

clip_image051

指定此证书的名称,然后单击“下一步”。

clip_image053

我们不申请通配符证书,保持默认,点击“下一步”

clip_image055

单击“浏览”,指定用于存储证书的 Exchange 服务器。服务器应是面向 Internet 的客户端访问服务器。单击“下一步”。

clip_image057

clip_image059

为列表中显示的每个服务指定用户将用来连接到 Exchange 服务器的外部或内部服务器名称。 例如,对于“Outlook Web App (从 Internet 访问)”,您可以指定 mail.contoso.com。 对于“OWA (从 Intranet 访问)”,您可以指定 CAS01.contoso.com。这些域将用于创建 SSL 证书申请。单击“下一步”。

clip_image061

clip_image063

clip_image065

添加要在 SSL 证书中包括的其他客户端访问服务器或者其他域名。并设置默认域名,单击“下一步”。

clip_image067

clip_image069

输入相关组织名称、部门名等,点击“下一步”

clip_image071

选择证书保存网络位置和名字,点击“完成”

注意:此路径必须为共享路径,并具有写入权限

clip_image073

clip_image075

4、申请Exchange证书

浏览器中打开CA证书http://dc01.contoso.com/certsrv,输入域管理员用户名和密码,选择“申请证书”

clip_image077

clip_image079

选择“高级证书申请”

clip_image081

选择“使用base64编码的…”

clip_image083

然后使用记事本打开刚才生成的req证书请求文件,并复制内容

clip_image085

将复制内容粘贴到“Base-64编码的证书申请”中,证书模板选择“Web服务器”,点击“提交 ”

clip_image087

选择“下载证书”

clip_image089

并将证书文件保持到共享路径上

clip_image091

5、完成Exchange证书

通过浏览到 https://<mail/casfqdn>/ECP 打开 EAC,输入用户名和密码

导航到EAC 的“服务器”---“证书”页面,选择之前步骤中创建的证书申请。在证书申请的详细信息窗格中,单击“状态”下面的“完成”。

clip_image093

输入申请证书的共享路径,点击“确定”,完成证书申请

clip_image095

clip_image097

clip_image099

选择刚添加的新证书,然后单击“clip_image100” 编辑

clip_image101

切换到“服务”选项卡 ,选择相应服务,点击“保存”

clip_image103

选择“是”

clip_image105

clip_image107

完成证书分配,并检查当前证书的服务

clip_image109

6、导出证书为cas02分配 Exchange证书

选择之前步骤中创建的证书。单击“…”,选择“导出Exchange证书”

clip_image111

并设置证书导出网络路径、名称及密码,点击“确定”

clip_image113

检查并确认到处的Exchange证书

clip_image115

返回EAC控制台,导航 “服务器”---“证书”页面,选择cas02客户端访问服务器,然后单击“…” ,选择“导入Exchange证书”

clip_image117

clip_image119

选择 证书网络路径并输入私钥密码(证书导出密码),点击“下一步”

clip_image121

点击“clip_image047[1]”,指定应用此证书的cas02服务器,点击“完成”

clip_image123

clip_image125

完成后选择导入的Exchange证书,点击“ clip_image126”,来为证书分配服务

clip_image128

切换到服务选项卡,并选择相应的服务,点击“保存”

clip_image130

选择“是”

clip_image132

完成证书服务分配,并检查当前证书的服务

clip_image134

7、测试证书是否生效

打开https://<mail/cas fqdn>/owa OWA界面,已经没有提示证书错误了

clip_image136

clip_image138

clip_image140




本文转自liang_simon51CTO博客,原文链接:http://blog.51cto.com/shubao    ,如需转载请自行联系原作者

相关文章
|
网络安全 数据安全/隐私保护 负载均衡