《统一沟通-微软-实战》-3-部署-Exchange 2010-3-证书-创建-导入-分配

本文涉及的产品
.cn 域名,1个 12个月
简介:

参照:

http://technet.microsoft.com/zh-cn/library/gg502577.aspx

在 Exchange 2010 中,数字证书用于以下方面的身份验证和加密:

  • 传输服务器之间的 SMTP 通信(使用传输层安全性)
  • 客户端访问方法(如 Outlook Web App、Outlook Anywhere、Exchange ActiveSync 和 Exchange Web 服务)的 HTTP 通信(使用安全套接字层)
  • 联合身份验证的 HTTP 通信

以下主题说明如何使用证书:

创建新的 Exchange 证书

导入 Exchange 证书

为证书分配服务

查看 Exchange 证书属性

导出 Exchange 证书

续订 Exchange 证书

访问-OWA   clip_image002 clip_image004 clip_image006 clip_image008 clip_image009 clip_image010 clip_image012   创建新的 Exchange 证书

此主题尚未评级 评价此主题

适用于: Exchange Server 2010 SP2

上一次修改主题: 2011-03-19

安装客户端访问服务器角色后,您需要在组织中为各种服务创建安全套接字层 (SSL) 证书。

clip_image013先决条件

已安装客户端访问服务器角色。

clip_image013[1]希望执行何种操作?

clip_image013[2]使用 EMC 创建新的 Exchange 证书

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中,单击“服务器配置”。

clip_image015

clip_image017

2. 在操作窗格中,单击“新建 Exchange 证书”可打开新建 Exchange 证书向导。此向导将帮助您确定 Exchange 组织所需的证书类型。

clip_image019

3. 在“简介”页中,为您的证书输入一个友好的名称。

clip_image021

4. 在“域作用域”页中,选中“启用通配符证书”复选框,如果要通过创建通配符证书将该证书自动应用于所有子域,请随后输入根域。

clip_image023

5. 如果您没有选择创建通配符证书,则可以使用“Exchange 配置”页选择证书需要支持的服务和协议。从下列选项中进行选择:

clip_image025

联合共享 如果要将此证书用于联合共享,可选中“将此证书用于联合共享”复选框。

客户端访问服务器(Outlook Web App) 如果要将此证书用于 Outlook Web App,可在 Intranet 或 Internet 上选中 Outlook Web App 的相应框,然后输入用于访问 Outlook Web App 的域名。

客户端访问服务器(Exchange ActiveSync) 如果要将此证书用于 Exchange ActiveSync,可选中“启用 Exchange ActiveSync”复选框,然后输入用于访问 Exchange ActiveSync 的域名。

客户端访问服务器(Exchange Web 服务、Outlook Anywhere 和自动发现) 如果要将此证书用于 Exchange Web 服务、Outlook Anywhere 或自动发现服务,可选中相应的复选框,然后输入组织的外部主机名。对于自动发现服务,请选择是使用“长 URL”格式、“短 URL”格式,还是自定义格式。在“要使用的自动发现 URL”框中,输入自动发现服务的完整 URL。

客户端访问服务器(POP/IMAP) 选中此复选框可指定用户是否在 Intranet 和 Internet 上使用 POP 和 IMAP。输入用于 POP 和 IMAP 的域名。

统一消息服务器 如果要使用统一消息,可以选择是使用自签名证书,还是使用公用证书。如果要将统一消息与 Office Communications Server 结合使用,则必须使用公用证书。对于每个选项,都应输入统一消息服务器的完全限定域名 (FQDN)。

集线器传输服务器 如果要使用相互 TLS 来帮助保护 Internet 邮件,或要将集线器传输服务器用于 POP 和 IMAP 客户端提交,请输入集线器传输服务器的 FQDN。

旧版 Exchange Server 如果要从以前版本的 Exchange Server 升级,且升级期间要在共存方案中进行一段时间的操作,则可以选择“使用旧域”并输入旧域名。

clip_image027

clip_image029

clip_image031

6. 在“证书域”页上,查看要添加到证书的域列表。您可以单击“添加”来添加其他域,或者如果需要进行更改,则可以单击列出的某个域,随后单击“编辑”。使用“设置为公用名”选项可将某个域选作证书的公用名。

clip_image032

7. 在“组织和位置”页中,输入您的 Exchange 组织的相关信息。您将需要输入组织名称、组织单位、和位置信息(包括国家/地区、市/县和省/市/自治区)。在“证书请求文件路径”部分中,单击“浏览”选择证书请求文件的位置,然后输入要使用的文件名。

clip_image034

clip_image036

8. 在“证书完成”页中,验证输入的所有信息是否正确。如果正确,请单击“新建”。

clip_image038

9. 在“完成”页中,按照所列步骤完成您的请求。此页也包含新建证书所必需的 cmdlet 语法。

clip_image040

clip_image042

clip_image013[3]使用命令行管理程序新建 Exchange 证书

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

下面的代码示例以 Base64 格式将证书请求输出到命令行控制台。必须将证书请求发送到组织中的证书颁发机构 (CA)、组织外部的信任 CA 或商业 CA。可以通过将证书请求输出粘贴在电子邮件中或 CA 的证书请求网页上的相应字段中,以完成此操作。还可以使用诸如记事本这样的文本编辑器将证书请求保存到文件。

生成的证书具有以下关联的属性:

  • 主题名称:c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com
  • 主题备选名称:woodgrovebank.com 和 example.com
  • 可导出的私钥

复制

New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable $true   申请证书

clip_image044

clip_image045

clip_image047

clip_image049

clip_image051

clip_image053

clip_image054

clip_image056

clip_image057

clip_image059

clip_image060

clip_image062

clip_image063

clip_image065

导入 Exchange 证书

此主题尚未评级 评价此主题

适用于: Exchange Server 2010 SP2

上一次修改主题: 2011-03-19

可以使用“导入 Exchange 证书”向导从扩展名为 .pfx 的文件中导入证书。

clip_image013[4]先决条件

已安装客户端访问服务器角色,之前已将包含私钥的证书导出为扩展名为 .pfx 的文件。

clip_image013[5]希望执行何种操作?

clip_image013[6]使用 EMC 导入新的 Exchange 证书

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中,单击“服务器配置”。

clip_image067

2. 从操作窗格中,单击“导入 Exchange 证书”以打开“导入 Exchange 证书”向导。

o 此向导将帮助您确定 Exchange 组织所需的证书类型。

clip_image069

3. 在“简介”页上,单击“浏览”以选择包含导出的证书的文件,然后输入该证书的密码。

4. 在“Exchange Server 选择”页上,选择要将证书导入到其中的 Exchange 服务器。

clip_image071

5. 在“完成”页上,验证之前选择的所有选项是否都正确。

clip_image073

clip_image075

6. 在最后一页上,按照列出的步骤操作来完成您的请求。此页还会显示导入证书所需的命令行管理程序 cmdlet 语法。

clip_image013[7]使用命令行管理程序导入新的 Exchange 证书

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

此示例从名为 import.pf 的文件中导入 Exchange 证书。

复制

Import-ExchangeCertificate -Path c:\certificates\import.pfx -Password:(Get-Credential).password   为证书分配服务

此主题尚未评级 评价此主题

适用于: Exchange Server 2010 SP2

上一次修改主题: 2011-03-19

您可以为安全套接字层 (SSL) 证书分配特定服务。可以分配的服务包括 POP、IMAP、IIS 和 SMTP。

clip_image013[8]先决条件

已安装客户端访问服务器角色,且客户端访问服务器上至少安装了一个证书。

clip_image013[9]希望执行何种操作?

clip_image013[10]使用 EMC 为证书分配服务

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中,选择“服务器配置”。

clip_image076

clip_image077

clip_image079

2. 在操作窗格中,单击“新建 Exchange 证书”可打开新建 Exchange 证书向导。

o 此向导将帮助您确定 Exchange 组织所需的证书类型。

clip_image080

3. 在“分配服务简介”页上,使用各复选框选择要分配给证书的服务。

clip_image082

clip_image084

4. 在“Exchange Server 选择”页上,选择证书所在的 Exchange 服务器。

clip_image086

clip_image088

5. 在“完成”页上,验证已提供的所有信息是否正确。

clip_image090

6. 在“确认”页上,按照列出的步骤操作来完成您的请求。此页还会显示新建证书所需的命令行管理程序 cmdlet 语法。

clip_image013[11]使用命令行管理程序为证书分配服务

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

以下示例将为证书分配 IMAP、POP、IIS 和 SMTP 服务。

复制

Enable-ExchangeCertificate -Server 'EXCH-H-868' -Services 'IMAP, POP, IIS, SMTP' -Thumbprint 'EDF57B5F9D81F1EC329BFB77ADD4465B426A40FB'   查看 Exchange 证书属性

此主题尚未评级 评价此主题

适用于: Exchange Server 2010 SP2

上一次修改主题: 2011-03-19

可以查看任何现有 Exchange 证书的属性。属性包括有效日期、序列号和公钥类型。

clip_image013[12]先决条件

已安装客户端访问服务器角色,且客户端访问服务器上至少安装了一个证书。

clip_image013[13]希望执行何种操作?

clip_image013[14]使用 EMC 查看 Exchange 证书属性

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

1. 在控制台树中,单击“服务器配置”。

2. 选择包含证书的服务器,然后选择要查看的证书。

clip_image090[1]

3. 在操作窗格中,单击“打开”。

o 可以在“Exchange 证书”对话框的“常规”、“详细信息”和“证书路径”页上查看有关证书的信息。

clip_image091

clip_image092

clip_image093

clip_image095

clip_image096

clip_image098

clip_image099

clip_image013[15]使用命令行管理程序查看 Exchange 证书属性

需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 客户端访问权限 主题中的“客户端访问服务器安全设置”条目。

本示例在格式化列表中显示 Exchange 证书的所有属性。

复制

Get-ExchangeCertificate 0271A7F1CA9AD8A27152CCAE044F968F068B14B8 | fl

测试:

clip_image101

clip_image103

clip_image105

clip_image106

clip_image108

clip_image110

使用Https://mail.uc-cn.net/owa

登录-DC

clip_image112

新建-A记录

clip_image113

clip_image115

clip_image117

clip_image118

clip_image119

clip_image120

clip_image121

clip_image122

clip_image124

clip_image126

clip_image128

clip_image130

clip_image132

clip_image134

《统一沟通-微软-实战》-3-部署-Exchange 2010-3-证书-创建-导入-分配-结束!





本文转自 CTO_LiuJinFeng 51CTO博客,原文链接:http://blog.51cto.com/dynamic/821129,如需转载请自行联系原作者
目录
相关文章
|
网络协议 数据安全/隐私保护 Windows