架构如下
主域控:DCS-01 192.168.2.20
辅域控:DCS-02 192.168.2.21
证书服务器:CER-01 192.168.2.31
客户端访问服务器01: CAS-01 192.168.2.23 CAS Array:22
客户端访问服务器02: CAS-02 192.168.2.24
邮箱传输服务器01:HUB-01 192.168.2.25 NLB:27
邮箱传输服务器02:HUB-02 192.168.2.26
邮箱服务器01:MBX-01 192.168.2.28 DAG:30
邮箱服务器02:MBX-02 192.168.2.29
Exchange Server证书如果不配置的话,给客户端的体验会变差,WEB登录或outlook使用时都会影响用户的体验
如下图:
下面为Exchange CAS/HUB服务器配置企业内部的证书。
注:个人经验,不代表别人。在企业中,证书服务器最好是单独的一台机器。这样在以后的管理和系统升级或迁移时不用考虑过多的点,使操作能够方便一些。
过程分为如下几步
部署证书服务器
创建证书申请文件
申请证书
分配服务
一、部署证书服务器
1.1添加“角色”,选择“Active Directory证书服务”
1.2证书服务简介图略。下一步如图选择
1.3安装类型、CA类型、私钥、加密保持默认图略。配置CA名称如图
1.4设置有效期,默认为5年,微软产品周期一般为5年。此项默认即可
1.5后面的选项保持默认值,最后提示“安装成功”
二、创建证书申请文件
2.1打开Exchange控制台--服务器配置--新建Exchange证书
2.2输入一个证书的名称,为了方便记忆,此名称和域名一致
2.3不启用通配符证书(图略)。Exchange配置:如图勾选这二项就可以
2.4选择域名列表,此处选择mail的选项。列表中自动列出所有的客户端访问角色,如下图中的CAS01、02
2.5“组织和位置”对话框中,设置使用者的相关信息,方便记忆随便填写即可,【浏览】把导出req的文件放在桌面,点击【下一步】-【新建】按钮。
2.6导出成功
三、申请证书
3.1浏览器输入http://cert-01/certsrv,单击“申请证书”超链接(cer-01是证书服务器名)
3.2单击“高级证书申请”超链接
3.3单击“使用base64”超链接
3.4用记事本打开刚才导出到桌面上的request.req证书申请文件。全选复制里面的内容
3.5粘贴到“保存的申请”文本框中,“证书模板”选择“web服务器”,单击【提交】
3.6单击“下载证书”超链接,单击【保存】将certnew.cer证书文件保存到桌面
四、分配服务
4.1完成搁置请求
4.2点击【浏览】选择刚才导出的certnew.cer证书文件
4.3完成搁置请求
注:(1)如果出现证书无效错误,如下图所示
(2)出现上图中的错误,是该服务器还没有安装企业的证书,该证书在重启后自动安装,如果不想重启,打开cmd输入gpupdate /force。该证书就安装成功了。下图是运行命令后的显示。再重复上面的操作,即可完成搁置请求。
4.4为证书分配服务
4.5选择服务器
4.6如图选择要分配的服务,由于此架构中CAS和HUB是分开部署的,SMTP服务在HUB上,在为HUB-01、02分配时,选中SMTP。(如果选中,会出现第二个图片的错误提示)
4.7确认覆盖
4.8导出上面新建的证书
4.9导入证书,用刚才导出的证书为CAS-02、HUB-01、HUB-02分配服务,下图为CAS-02导入,其它服务器步骤相同
4.10HUB-02服务分配成功
4.11删除所有的自签名证书
4.12打开web登录测试