《统一沟通-微软-实战》-3-部署-Exchange 2010-3-证书-创建-导入-分配

参照:

http://technet.microsoft.com/zh-cn/library/gg502577.aspx

在 Exchange 2010 中，数字证书用于以下方面的身份验证和加密：

• 传输服务器之间的 SMTP 通信（使用传输层安全性）
• 客户端访问方法（如 Outlook Web App、Outlook Anywhere、Exchange ActiveSync 和 Exchange Web 服务）的 HTTP 通信（使用安全套接字层）
• 联合身份验证的 HTTP 通信

以下主题说明如何使用证书：

创建新的 Exchange 证书

导入 Exchange 证书

为证书分配服务

查看 Exchange 证书属性

导出 Exchange 证书

续订 Exchange 证书

访问-OWA     创建新的 Exchange 证书

此主题尚未评级 评价此主题

适用于： Exchange Server 2010 SP2

上一次修改主题： 2011-03-19

安装客户端访问服务器角色后，您需要在组织中为各种服务创建安全套接字层 (SSL) 证书。

先决条件

已安装客户端访问服务器角色。

希望执行何种操作？

• 使用 EMC 创建新的 Exchange 证书
• 使用命令行管理程序新建 Exchange 证书

使用 EMC 创建新的 Exchange 证书

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中，单击“服务器配置”。

2. 在操作窗格中，单击“新建 Exchange 证书”可打开新建 Exchange 证书向导。此向导将帮助您确定 Exchange 组织所需的证书类型。

3. 在“简介”页中，为您的证书输入一个友好的名称。

4. 在“域作用域”页中，选中“启用通配符证书”复选框，如果要通过创建通配符证书将该证书自动应用于所有子域，请随后输入根域。

5. 如果您没有选择创建通配符证书，则可以使用“Exchange 配置”页选择证书需要支持的服务和协议。从下列选项中进行选择：

o 联合共享 如果要将此证书用于联合共享，可选中“将此证书用于联合共享”复选框。

o 客户端访问服务器(Outlook Web App) 如果要将此证书用于 Outlook Web App，可在 Intranet 或 Internet 上选中 Outlook Web App 的相应框，然后输入用于访问 Outlook Web App 的域名。

o 客户端访问服务器(Exchange ActiveSync) 如果要将此证书用于 Exchange ActiveSync，可选中“启用 Exchange ActiveSync”复选框，然后输入用于访问 Exchange ActiveSync 的域名。

o 客户端访问服务器(Exchange Web 服务、Outlook Anywhere 和自动发现) 如果要将此证书用于 Exchange Web 服务、Outlook Anywhere 或自动发现服务，可选中相应的复选框，然后输入组织的外部主机名。对于自动发现服务，请选择是使用“长 URL”格式、“短 URL”格式，还是自定义格式。在“要使用的自动发现 URL”框中，输入自动发现服务的完整 URL。

o 客户端访问服务器(POP/IMAP) 选中此复选框可指定用户是否在 Intranet 和 Internet 上使用 POP 和 IMAP。输入用于 POP 和 IMAP 的域名。

o 统一消息服务器 如果要使用统一消息，可以选择是使用自签名证书，还是使用公用证书。如果要将统一消息与 Office Communications Server 结合使用，则必须使用公用证书。对于每个选项，都应输入统一消息服务器的完全限定域名 (FQDN)。

o 集线器传输服务器 如果要使用相互 TLS 来帮助保护 Internet 邮件，或要将集线器传输服务器用于 POP 和 IMAP 客户端提交，请输入集线器传输服务器的 FQDN。

o 旧版 Exchange Server 如果要从以前版本的 Exchange Server 升级，且升级期间要在共存方案中进行一段时间的操作，则可以选择“使用旧域”并输入旧域名。

6. 在“证书域”页上，查看要添加到证书的域列表。您可以单击“添加”来添加其他域，或者如果需要进行更改，则可以单击列出的某个域，随后单击“编辑”。使用“设置为公用名”选项可将某个域选作证书的公用名。

7. 在“组织和位置”页中，输入您的 Exchange 组织的相关信息。您将需要输入组织名称、组织单位、和位置信息（包括国家/地区、市/县和省/市/自治区）。在“证书请求文件路径”部分中，单击“浏览”选择证书请求文件的位置，然后输入要使用的文件名。

8. 在“证书完成”页中，验证输入的所有信息是否正确。如果正确，请单击“新建”。

9. 在“完成”页中，按照所列步骤完成您的请求。此页也包含新建证书所必需的 cmdlet 语法。

使用命令行管理程序新建 Exchange 证书

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

下面的代码示例以 Base64 格式将证书请求输出到命令行控制台。必须将证书请求发送到组织中的证书颁发机构 (CA)、组织外部的信任 CA 或商业 CA。可以通过将证书请求输出粘贴在电子邮件中或 CA 的证书请求网页上的相应字段中，以完成此操作。还可以使用诸如记事本这样的文本编辑器将证书请求保存到文件。

生成的证书具有以下关联的属性：

• 主题名称：c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com
• 主题备选名称：woodgrovebank.com 和 example.com
• 可导出的私钥

复制

New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable $true   申请证书

导入 Exchange 证书

此主题尚未评级 评价此主题

适用于： Exchange Server 2010 SP2

上一次修改主题： 2011-03-19

可以使用“导入 Exchange 证书”向导从扩展名为 .pfx 的文件中导入证书。

先决条件

已安装客户端访问服务器角色，之前已将包含私钥的证书导出为扩展名为 .pfx 的文件。

希望执行何种操作？

• 使用 EMC 导入新的 Exchange 证书
• 使用命令行管理程序导入新的 Exchange 证书

使用 EMC 导入新的 Exchange 证书

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中，单击“服务器配置”。

2. 从操作窗格中，单击“导入 Exchange 证书”以打开“导入 Exchange 证书”向导。

o 此向导将帮助您确定 Exchange 组织所需的证书类型。

3. 在“简介”页上，单击“浏览”以选择包含导出的证书的文件，然后输入该证书的密码。

4. 在“Exchange Server 选择”页上，选择要将证书导入到其中的 Exchange 服务器。

5. 在“完成”页上，验证之前选择的所有选项是否都正确。

6. 在最后一页上，按照列出的步骤操作来完成您的请求。此页还会显示导入证书所需的命令行管理程序 cmdlet 语法。

使用命令行管理程序导入新的 Exchange 证书

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

此示例从名为 import.pf 的文件中导入 Exchange 证书。

复制

Import-ExchangeCertificate -Path c:\certificates\import.pfx -Password:(Get-Credential).password   为证书分配服务

此主题尚未评级 评价此主题

适用于： Exchange Server 2010 SP2

上一次修改主题： 2011-03-19

您可以为安全套接字层 (SSL) 证书分配特定服务。可以分配的服务包括 POP、IMAP、IIS 和 SMTP。

先决条件

已安装客户端访问服务器角色，且客户端访问服务器上至少安装了一个证书。

希望执行何种操作？

• 使用 EMC 为证书分配服务
• 使用命令行管理程序为证书分配服务

使用 EMC 为证书分配服务

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中，选择“服务器配置”。

2. 在操作窗格中，单击“新建 Exchange 证书”可打开新建 Exchange 证书向导。

o 此向导将帮助您确定 Exchange 组织所需的证书类型。

3. 在“分配服务简介”页上，使用各复选框选择要分配给证书的服务。

4. 在“Exchange Server 选择”页上，选择证书所在的 Exchange 服务器。

5. 在“完成”页上，验证已提供的所有信息是否正确。

6. 在“确认”页上，按照列出的步骤操作来完成您的请求。此页还会显示新建证书所需的命令行管理程序 cmdlet 语法。

使用命令行管理程序为证书分配服务

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

以下示例将为证书分配 IMAP、POP、IIS 和 SMTP 服务。

复制

Enable-ExchangeCertificate -Server 'EXCH-H-868' -Services 'IMAP, POP, IIS, SMTP' -Thumbprint 'EDF57B5F9D81F1EC329BFB77ADD4465B426A40FB'   查看 Exchange 证书属性

此主题尚未评级 评价此主题

适用于： Exchange Server 2010 SP2

上一次修改主题： 2011-03-19

可以查看任何现有 Exchange 证书的属性。属性包括有效日期、序列号和公钥类型。

先决条件

已安装客户端访问服务器角色，且客户端访问服务器上至少安装了一个证书。

希望执行何种操作？

• 使用 EMC 查看 Exchange 证书属性
• 使用命令行管理程序查看 Exchange 证书属性

使用 EMC 查看 Exchange 证书属性

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中，单击“服务器配置”。

2. 选择包含证书的服务器，然后选择要查看的证书。

3. 在操作窗格中，单击“打开”。

o 可以在“Exchange 证书”对话框的“常规”、“详细信息”和“证书路径”页上查看有关证书的信息。

使用命令行管理程序查看 Exchange 证书属性

需要首先分配权限，然后才能执行此过程。若要查看所需的权限，请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

本示例在格式化列表中显示 Exchange 证书的所有属性。

复制

Get-ExchangeCertificate 0271A7F1CA9AD8A27152CCAE044F968F068B14B8 | fl

测试:

使用Https://mail.uc-cn.net/owa

登录-DC

新建-A记录

《统一沟通-微软-实战》-3-部署-Exchange 2010-3-证书-创建-导入-分配-结束!

本文转自 CTO_LiuJinFeng 51CTO博客，原文链接：http://blog.51cto.com/dynamic/821129，如需转载请自行联系原作者