部署Exchange證書

生產環境中，若是條件容許用戶，能夠申請公網證書，若是條件不容許，能夠在企業內部搭建證書服務器部署CA服務器，爲Exchange以及用戶提供證書，注意證書的有效時間。

一、證書提示

Exchange安裝以後，默認啓用SSL功能，經過443端口訪問OWA，或者EAC，若是沒有部署證書，訪問會出現如下提示：此網站的證書安全存在問題，如圖

選擇繼續瀏覽此網站（不推薦）選項後，可繼續訪問OWA或者EAC，可是在地址欄中顯示「證書錯誤」，如圖

二、EAC證書申請

第一步以Exchange管理員身份登陸EAC，在「Exchange管理中心」窗口中，選擇「服務器」—>「證書」選項，如圖：

第二步，在「選擇服務器」列表中選擇第一臺服務器，單擊工具欄的「+」按鈕，啓動「新建Exchange證書嚮導」，在環境中 ，我已經提早部署了證書服務器，在此咱們選擇「建立從證書頒發機構獲取證書的請求」

第三步，單擊「下一步」按鈕，在其中設置證書名稱，如圖

第四步，單擊「下一步」按鈕，在其中設置是否使用通配符證書，在此咱們選擇不使用通配符證書

第五步，單擊「下一步」按鈕，在其中選擇證書存儲的目標服務器，默認沒有選擇任何Exchange服務器

第六步，單擊「瀏覽」按鈕，其中顯示全部可用的Exchange服務器，選擇其中一臺服務器，

第七步，單擊「肯定」按鈕，返回上一步打開的窗口，如圖

第八步，單擊「下一步」按鈕，在其中設置證書要包含的信息，默認狀況下，內部域已經自動適配，外部域沒有指定，顯示爲「未指定」須要Exchange管理員根據實際狀況匹配外部域相關信息，在測試中，外部域使用mail.mc.com

以「OWA」爲例說明，雙擊該設置，在文本框鍵入外部域名，在案例中使用域名爲」mail.mc.com」

單擊「肯定」按鈕，返回「指定要在證書中包括的域」窗口，使用一樣的操做處理其餘信息，設置完成後參數以下

第七步，單擊「下一步」按鈕，其中顯示當前證書請求中包含的域。注意：若是Exchange包含多個Exchange服務器，須要添加每臺服務器

單擊工具欄的「+」按鈕，顯示如圖所示的「新建域」網頁對話框，在域名設置中設置第二臺郵箱服務器的名稱

單擊「肯定」按鈕，關閉「新建域」對話框，返回到包含域列表窗口，第二臺服務器已經顯示在列表中

用一樣的方法將全部目標域添加進來，如圖

第八步，單擊「下一步」按鈕，顯示如圖所示的窗口，在其中設置申請請求須要的詳細信息，

第九步，單擊「下一步」按鈕，在其中設置證書請求存儲的位置。注意：存儲位置須要UNC路徑，不能存放在本地服務器環境中 。

第十步，單擊「完成」按鈕，完成證書請求，成功後，能夠經過共享文件夾路徑查看文件

經過記事本打開證書請求文件，內容以下

第十一步，以Exchange管理員身份登陸EAC，在「Exchange管理中心」窗口中，選擇「服務器」—>「證書」選項，新證書請求出如今證書列表中，注意證書的狀態爲「擱置的請求」

三、IE申請證書

第一步，打開IE瀏覽器，在地址欄鍵入http://證書服務器/certsrv」輸入域用戶名密碼，打開證書申請頁面，如圖

第二步，單擊「申請證書」連接，打開如圖所示的「申請一個證書」頁面

第三步，單擊「高級證書申請」連接，打開如圖所示的「高級證書申請」頁面。在其中選擇申請方式

第四步，單擊「使用base64編碼的CMC或PKCS#10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續訂證書申請連接，打開如圖所示的「提交一個證書申請或續訂申請」頁面。使用「記事本」打開上一步製做的證書申請文件，將其內容複製到「保存的申請」文本框中 ，「證書模板」設置爲「Web服務器」

第五步，單擊「提交」按鈕，打開如圖所示的「證書已頒發」頁面，在其中選擇證書編碼爲「DER編碼」。

第六步，單擊「下載證書」連接，打開如圖所示的對話框，設置證書放置位置，單擊「保存」按鈕，完成證書申請，證書保存成功後，將證書符合掉和證書請求文件相同的文件夾中。

四、爲第一臺郵件服務器部署證書

首先爲MCEX01部署證書

第一步，以Exchange管理員身份登陸EAC。在「Exchange管理中心」窗口中，選擇「服務器」—>「證書」選項，在類別中 選擇MCEX01的服務器。

第二步，單擊「完成」連接，在文本框中鍵入證書文件所在的共享文件夾的完整路徑以及文件名。如圖

第三步，單擊「肯定」按鈕，導入證書文件並配置相關的服務，證書狀態更新爲「有效」，當前證書已經默認綁定「IMAP」和「POP」服務。

第四步，選擇目標證書後，單擊工具欄的「編輯」按鈕，打開證書屬性窗口，默認顯示「常規」選項卡。切換到「服務」選項卡，如圖，已經默認啓用了「IMAP」和「POP」服務。

第五步，選擇須要補上的服務：SMTP和IIS，如圖

第六步，單擊「保存」按鈕，顯示如圖所示的「警告」對話框，其中提示須要覆蓋現有證書

第七步，單擊「是」按鈕，返回「證書」窗口，顯示當前證書已經和設置的服務器綁定，如圖

五、爲第二臺郵件服務器部署證書

爲第二臺郵件服務器MCex02部署證書

第一步，選擇爲第一臺服務器部署的證書，選擇「…」按鈕，在彈出的菜單中單擊「導出Exchange證書」選項，如圖

第二步，命令執行後，顯示「導出Exchange證書」窗口。在其中設置導出後的證書文件所在目標文件夾，以及密碼，設置參數如圖

第三步，單擊「肯定」按鈕，將證書導出到目標位置，如圖

第四步，打開「Exchange管理中心」窗口，選擇「服務器」—>「證書」選項，在「選擇服務器」列表中選擇第二臺服務器。默認狀態如圖：

第五步，單擊工具欄「…」按鈕，在彈出的菜單中單擊「導入Exchange證書」選項，如圖

第六步，命令執行後，顯示如圖所示的「導入Exchange證書」窗口，在其中輸入證書所在的共享文件夾路徑以及證書名稱，而後輸入設置的密碼（證書導出密碼）

第七步，單擊「下一步」按鈕，顯示如圖所示的「指定要應用此證書的服務器」對話框，其中須要管理員手動爲郵件服務器配置證書。

第八步，單擊工具欄「+」按鈕，顯示如圖所示的窗口，從服務器列表中選擇須要配置證書的服務器，單擊「添加」按鈕，選擇目標服務器

第九步，單擊「肯定」按鈕，返回「指定要應用此證書的服務器」對話框，其中顯示選擇服務器已經添加到列表中，如圖

第十步，單擊「完成」按鈕，爲第二臺服務器配置證書。注意：證書導入成功後郵件服務器未配置服務，須要Exchange管理員手動配置其餘服務，如圖

第十一步，選擇目標證書後，單擊工具欄的「編輯」按鈕，打開證書屬性窗口，切換到「服務」選項卡，勾選全部服務，配置與第一臺服務器相同便可。

第十二步，單擊「保存」按鈕，顯示如圖所示的「警告」對話框，其中須要覆蓋現有證書。

第十三步，單擊「是」按鈕，替換現有證書，返回「證書」窗口，其中顯示當前證書已經和設置的服務綁定，如圖