Exchange 2010 (一) 为多台CAS/HUB配置证书

简介:

架构如下

主域控:DCS-01                192.168.2.20

辅域控:DCS-02                192.168.2.21

证书服务器:CER-01            192.168.2.31

客户端访问服务器01:  CAS-01   192.168.2.23  CAS Array:22

客户端访问服务器02:  CAS-02   192.168.2.24

邮箱传输服务器01:HUB-01      192.168.2.25  NLB:27

邮箱传输服务器02:HUB-02      192.168.2.26

邮箱服务器01:MBX-01          192.168.2.28  DAG:30

邮箱服务器02:MBX-02          192.168.2.29


Exchange Server证书如果不配置的话,给客户端的体验会变差,WEB登录或outlook使用时都会影响用户的体验

如下图:

wKiom1bAfhvBqEOBAAFiNB6qn84788.jpg

 

下面为Exchange CAS/HUB服务器配置企业内部的证书。

注:个人经验,不代表别人。在企业中,证书服务器最好是单独的一台机器。这样在以后的管理和系统升级或迁移时不用考虑过多的点,使操作能够方便一些。


过程分为如下几步

  • 部署证书服务器

  • 创建证书申请文件

  • 申请证书

  • 分配服务


一、部署证书服务器

1.1添加“角色”,选择“Active Directory证书服务”

wKiom1bAfn2SJ4YYAAH-EtXSg2k360.jpg

 

1.2证书服务简介图略。下一步如图选择

wKioL1bAfu-yWtnOAAGjcQ2XygQ808.jpg


1.3安装类型、CA类型、私钥、加密保持默认图略。配置CA名称如图

wKioL1bAfy6xr4vfAAHXAGQK1pg846.jpg

 

1.4设置有效期,默认为5年,微软产品周期一般为5年。此项默认即可

wKioL1bAfz3wqK8KAAGHxKct9W0155.jpg 

1.5后面的选项保持默认值,最后提示“安装成功”

wKioL1bAf2egJTl_AAHXiDUMhsY340.jpg 

二、创建证书申请文件

2.1打开Exchange控制台--服务器配置--新建Exchange证书

wKioL1bAgGuDiatMAAKOo4dDHOI546.jpg


2.2输入一个证书的名称,为了方便记忆,此名称和域名一致

wKioL1bAgMWTkSPfAAC3VJ4tHkI887.jpg


2.3不启用通配符证书(图略)。Exchange配置:如图勾选这二项就可以

wKiom1bAgHSRlh8iAAHn8Kw8OL8801.jpg

 

2.4选择域名列表,此处选择mail的选项。列表中自动列出所有的客户端访问角色,如下图中的CAS0102

wKioL1bAgOiif2IFAAEVPukBfNs152.jpg


2.5“组织和位置”对话框中,设置使用者的相关信息,方便记忆随便填写即可,【浏览】把导出req的文件放在桌面,点击【下一步】-【新建】按钮。

wKiom1bAgK2A3uCPAAGwGQ6Tui4910.jpg

 

2.6导出成功

wKioL1bAgSWQZv8TAAIY8Cvplrs382.jpg


三、申请证书

3.1浏览器输入http://cert-01/certsrv,单击“申请证书”超链接(cer-01是证书服务器名)

wKiom1bAgOqhKcvoAAKApo5SPeQ036.jpg


3.2单击“高级证书申请”超链接

wKiom1bAgQyQpZfBAAFlUZPvs_8084.jpg


3.3单击“使用base64”超链接

wKiom1bAgS7yPtsIAAHvU0AuUlw192.jpg

 

3.4用记事本打开刚才导出到桌面上的request.req证书申请文件。全选复制里面的内容

wKioL1bAga2BXEmEAAS_Wq3W1iA029.jpg


3.5粘贴到“保存的申请”文本框中,“证书模板”选择“web服务器”,单击【提交】

wKiom1bAgZHBH_ePAAKNrb6Vr2o842.jpg


3.6单击“下载证书”超链接,单击【保存】将certnew.cer证书文件保存到桌面

wKioL1bAgiXAi1siAAJFmFtjAsc656.jpg

 

四、分配服务

4.1完成搁置请求

wKiom1bAge_B3zh_AAIGMrk1aI8515.jpg


4.2点击【浏览】选择刚才导出的certnew.cer证书文件

wKioL1bAgnaRErwpAAEAdaA7nfw192.jpg

 

4.3完成搁置请求

wKiom1bAglfzaB8HAAEUoo8jyeY694.jpg

:1)如果出现证书无效错误,如下图所示

wKiom1bAgnSzpJfJAADArfs0nx0675.jpg

2)出现上图中的错误,是该服务器还没有安装企业的证书,该证书在重启后自动安装,如果不想重启,打开cmd输入gpupdate /force。该证书就安装成功了。下图是运行命令后的显示。再重复上面的操作,即可完成搁置请求。

wKiom1bAgoWS6zv5AAOZABZN7ns505.jpg

 

4.4为证书分配服务

wKioL1bAgyOxiZ46AADJbQoQj2o122.jpg

 

4.5选择服务器

wKioL1bAgzfwvME3AADimCs9iB8573.jpg


4.6如图选择要分配的服务,由于此架构中CASHUB是分开部署的,SMTP服务在HUB上,在为HUB-0102分配时,选中SMTP。(如果选中,会出现第二个图片的错误提示)

wKiom1bAgvbimGKtAAD9fObXU6M683.jpg

wKioL1bAg2rTR0z4AADMsC8_a4Y482.jpg

 

4.7确认覆盖

wKioL1bAg4DjbmvyAAFsaAhSIAg373.jpg

 

4.8导出上面新建的证书

wKiom1bAhAPDFe18AAHNRQpsVro509.jpg

 

4.9导入证书,用刚才导出的证书为CAS-02HUB-01HUB-02分配服务,下图为CAS-02导入,其它服务器步骤相同

wKiom1bAhEnBWbYeAAM9RBhdjpU088.jpg

 

4.10HUB-02服务分配成功

wKiom1bAhIODbJ_qAADDiqTcSJY026.jpg

 

4.11删除所有的自签名证书

wKiom1bAhKazKUUwAAC5ZJcqwu0540.jpg

 

4.12打开web登录测试







      本文转自cix123  51CTO博客,原文链接:http://blog.51cto.com/zhaodongwei/1741972 ,如需转载请自行联系原作者




相关文章