开发者社区> 科技小先锋> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

Exchange 日常管理九之:创建证书服务器

简介:
+关注继续查看

Exchange 日常管理九之:创建证书服务器

在前面的博文中我们和大家介绍了如何实现Exchange服务器如何实现高可用的部署,其中包括如何创建CAS阵列以及如何创建DAG组,那么今天的博文中我们就来和大家介绍一下Exchange服务器中的CA证书服务器。

安装Active Directory证书服务

首先介绍证书是因为Exchange很多服务都需要证书的支持,证书申请的颁发机构可以使用自己创建的,也可以到商业CA购买。我推荐自己创建CA,毕竟到商业CA购买一个证书需要几千甚至上万的人民币,而且申请起来远远没有私有CA这么灵活。

打开服务器管理器:

clip_image002

点击角色----添加角色:

clip_image004

系统弹出添加角色向导,我们直接下一步:

clip_image006

这里我们勾选Active Directory证书服务,点击下一步:

clip_image008

这里系统给我们弹出来证书服务器的简介,我们可以直接点击下一步:

clip_image010

在选择角色服务界面我们勾选证书颁发机构和证书颁发机构Web注册,然后点击添加所需的角色服务:

clip_image012

可以看到我们需要安装的服务已经成功勾选,我们直接点击下一步即可:

clip_image014

这里我们选择企业,点击下一步:

clip_image016

因为我是第一次安装,所以在此我选择根,然后点击下一步:

clip_image018

保持默认,点击下一步:

clip_image020

这里让我们选择加密算法,因为我是实验环境,所以这里我保持默认点击下一步:

clip_image022

这里安装向导让我们配置CA名称,在此我保持默认,点击下一步:

clip_image024

证书有效期,我们保持默认点击下一步:

clip_image026

证书数据库位置,保持默认点击下一步:

clip_image028

OK、可以看到安装证书服务时候可以会自动安装Web服务器,这里我们直接下一步即可:

clip_image030

保持默认,点击下一步:

clip_image032

确认信息无误,点击安装:

clip_image034

安装成功,我们点击关闭。

OK、到这里我们域控制器上的操作就已经完成了!

申请证书

在Exchange服务器上打开Exchange的管理控制台EMC:

clip_image036

点击服务器端配置:

clip_image038

我们可以看到Exchange证书这个选项卡,在选项卡空白处鼠标右键:

clip_image039

点击新建Exchange证书:

clip_image041

系统给我们弹出了新建Exchange证书向导,可以看到在这个界面系统要求我们输入一个证书的友好名称,这个名词我们可以随意出入它只是一个标记而已,所以在此我输入mail.contoso.com点击下一步:

clip_image043

这里系统问我们是否使用通配符。如果我们的证书后缀都相同,可以使用通配符。

例如:*.contoso.com,这样更方便一些。如果证书的域名后缀不同,通配符证书就不太合适了

这里我选择不启用通配符,保持默认点击下一步:

clip_image045

OK、到这一步可能有许多朋友都不明白,其实你可以向我这样勾选然后直接点击下一步,具体为什么我们会在 下面做出解释。在这我点击下一步:

clip_image047

相信看到这张图大家就明白了吧,这里可以直接输入证书名称,比之前的图要方便的多。一般来说,证书的名称要包含下列几个:

1、 是Exchange服务器的计算机名,本例中是cas-1.congoto.com和cas-2.contoso.com

2、 是Exchange服务器CAS阵列的计算机名,本例中是mail.contoso.com;

3、 是outlook自动发现的保留计算机名,这个名称必须是autodiscover.contoso.com;

4、 是旧版本Exchange的保留名称,本例中是legacy.contoso.com。要注意的是,legacy.contoso.com的域名要解析到旧版本的Exchange2003前端服务器。这里要稍微解释一下,当旧版本Exchange和Exchange2010并存时,要确保用户首先访问到Exchange2010的CAS服务器。当用户访问到Exchange2010的CAS服务器后,如果用户访问的邮箱隶属于Exchange2010,CAS服务器会自动跳转到Exchange2010的邮箱服务器;如果用户访问的邮箱隶属于旧的Exchange服务器,CAS服务器就会自动跳转到legacy.contoso.com服务器,由legacy.contoso.com再跳转到旧版本Exchange的邮箱服务器。因此legacy.contoso.com的IP地址一定要对应旧版本Exchange的前端服务器。

OK、确认没有问题,我们点击下一步:

clip_image049

这一步上面的内容可以随便填,关键是证书请求文件路径,这里我保存到了C:\zhengshu.req,确认没问题点击下一步:

clip_image051

确认我们的证书配置没有问题,点击新建:

clip_image053

可以看到新建完成,我们点击完成:

clip_image054

可以看到我们的证书选项卡中多了一个名称为mail.contoso.com的证书。

因为我们已经在域控制器上部署了CA证书服务器,所以我们在Exchange服务器上打开浏览器输入:http://contoso.com/certsrv

说明: http://dcserver/certsrv这里的deserver是指我们的域名,因为我使用的域名是contoso.com所以在上面我输入的是http://contoso.com/certsrv

clip_image056

在这里我们输入用户名和密码后点击确定:

clip_image058

点击申请证书:

clip_image060

这里我们要申请一个高级证书,所以点击高级证书申请:

clip_image062

这里我们选择使用base64:

clip_image064

看到这里让我们输入一个bash-64的编码相信许多朋友都蒙了,在这里大家不要着急,不知道大家是否还记得前面我们新建了一个保存在c:\zhengshu.req的文件,下面我们用记事本打开这个文件,然后将里面的内容复制到这里:

clip_image066

可以看到我们已经成功复制过来bash-64编码,下面我们需要将证书模板调为Web服务器,然后点击提交:

clip_image068

可以看到证书以及成功颁发,我们点击下载证书:

clip_image070

我们将证书保存到指定位置

打开我们Exchange的管理控制台:

clip_image071

可以看到我们刚刚新建的证书是处于一个挂起的状态,现在我们在其上鼠标右键:

clip_image072

点击完成搁置请求:

clip_image074

这里选择我们刚刚申请的证书的位置,然后点击完成:

clip_image076

可以看到已完成字样,我们点击完成:

clip_image077

可以看到我们名称为mail.contoso.com这个域名已经是有效的状态了

证书导出/倒入

第一台Exchange CAS服务器申请完证书后,我们可以把申请的证书直接导出给第二台CAS服务器,这样可以避免在第二台CAS服务器上重新申请证书的麻烦。

在Exchange的EMC中右键点击第一台CAS服务器的证书:

clip_image078

点击导出Exchange证书

clip_image080

这里我们输入文件名称和密码后点击导出(注意此证书为pfx格式,所以在文件名称位置需要注意):

clip_image082

可以看到已经导出成功,我们点击完成

点击完成后鼠标右键我们的第二台CAS/HUB服务器cas-2:

clip_image084

选择导入Exchange证书:

clip_image086

这里选择我们刚刚导出的.pxf格式的证书并且输入我们所设置的密码,点击下一步:

clip_image088

确定没有问题,点击下一步:

clip_image090

点击导入:

clip_image092

可以看到证书导入完成,现在两台CAS/HUB服务器上都已经有证书。由于客户机并不直接访问邮箱服务器,因此两台邮箱服务器就不用申请证书了

证书分配服务

两台CAS/HUB服务器拥有证书后,我们要发挥证书的作用,把证书和Exchange服务关联起来。在Exchange服务器的EMC中右键点击证书

clip_image093

选择为证书分配服务:

clip_image095

选择要分配服务的Exchange服务器,我们需要把两台CAS服务器都选中,点击下一步:

clip_image097

这里我们勾选邮局协议、简单右键传输协议以及IIS,点击下一步:

clip_image099

点击分配:

clip_image101

向导提示要使用申请到的证书覆盖SMTP使用的自签名证书,点击“是”同意覆盖。

其实Exchange服务器安装完成后会安装一个自签名证书,这个证书是Exchange服务器自己颁发给自己的,因此客户机都不信任证书,使用起来不方便。因此我们才需要费点心思为Exchange服务器手工申请证书。

测试

打开IE浏览器使用OWA方式登陆我们的邮箱:

clip_image103

Ok、可以看到已经没有证书错误的提醒了!

实验成功。



本文转自wuyvzhang 51CTO博客,原文链接:http://blog.51cto.com/wuyvzhang/1665310,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
宝塔面板部署DV免费证书(web服务器nginx)
宝塔面板部署DV免费证书(web服务器nginx)
0 0
关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
0 0
[Apache,安装包,Openssl,服务器证书,安装目录]Linux Apache SSL证书安装
  一、安装准备 1.安装Openssl要使Apache支持SSL,需要首先安装Openssl支持。(现在的服务器一般都已经预装了,可以直接直接跳到下一步。)安装Openssl有两种方式:1)下载源码编译安装:推荐下载安装openssl-0.9.8k.tar.gz
0 0
将Fiddler的服务器证书导入到Java的cacerts证书库里
将Fiddler的服务器证书导入到Java的cacerts证书库里
0 0
蚂蚁金服网站服务器证书升级公告
尊敬的开放平台合作伙伴们:     为确保用户可以获得最佳的使用体验,蚂蚁金服网站计划于2018年7月10日升级服务器证书。 请通知贵司技术开发人员尽快完成相关验证和进行必要的修正,以免影响交易正常进行,详细信息可查看《蚂蚁金服网站新服务器证书兼容性验证指引文档》。
138 0
Confluence 6 导入 Active Directory 服务器证书 - Mac OS X
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
794 0
Confluence 6 导入 Active Directory 服务器证书 - UNIX
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
618 0
Confluence 6 导入 Active Directory 服务器证书 - Windows
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
735 0
Confluence 6 获得 Active Directory 服务器证书
上面的步骤说明了如何在你的 Microsoft Active Directory服务器上安装 certification authority (CA)。
786 0
Confluence 6 安装 Active Directory 证书服务器
如果证书服务器已经安装了的话,跳过这一步骤,直接进入下一步。下面步骤中的屏幕截图是从 Windows 2008 服务器版上安装的截图,针对 2000 和 2003 安装过程是一样的。
950 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
网站/服务器取证 实践与挑战
立即下载
固守服务器的第一道防线——美联集团堡垒机的前世今生
立即下载
机器学习在大规模服务器治理复杂场景的实践
立即下载