如何在Exchange 2010安裝證書

原文閱讀：https://www.infinisign.com/fa...

本文主要介紹如何在Microsoft Exchange 2010中安裝由權威機構(如下簡稱CA)簽發的證書，若是是自簽名證書請參考微軟官方自簽名證書文檔，同Web應用服務器同樣，若是是多臺服務器的Exchange須要在每一臺上都安裝此證書。

1、準備

1. 簽發證書

簽發證書也就是通過CA驗證過域名或者企業信息後所簽發的域名證書，例如郵件服務器會使用 smtp.yourdomain.com 做爲郵件發件服務器地址，那麼該證書驗證的域名就是 smtp.yourdomain.com，而smtps協議只是smtp的一個延伸，在應用層和smtp是同樣的，smtps使用的是465端口。

2. 中級證書

一個完整的證書鏈應該由證書 + 中級證書A + 中級證書B + ... +根證書構成，因此一般，由CA簽發的證書壓縮包中會有1個或者多箇中級證書，另外多家CA的中級證書在官網上有下載，關於合併中級證書請參考：SSL證書鏈不完整致使瀏覽器不受信任

3. 私鑰

私鑰一般是在準備CSR證書請求文件時生成，使用openSSL生成存在CSR文件的同級目錄中 - 生成CSR證書請求文件 ，使用在線工具會將隨機生成的私鑰+CSR發送到郵箱中，使用IIS生成CSR要求在完成證書請求後提取私鑰 - SSL/TLS多種證書類型的轉換。

此外Exchange也和IIS同樣提供新建證書請求和完成證書請求同樣的功能。

2、安裝步驟

1. Exchange管理控制檯中導入證書

開始菜單中打開Exchange 管理控制檯 - 服務器配置 - 導入Exchange證書，選擇簽發的pfx格式證書，或者普通的x.509格式證書轉換爲pfx證書 - SSL/TLS多種證書類型的轉換，輸入pfx證書密碼，完成導入證書。

注意：本文使用的是合併後的pfx證書，

2. 服務器配置

點擊數據庫管理，選擇服務器配置 - 右鍵點擊導入的證書 - 爲證書分配服務 - 選擇指定的服務（Internet郵件訪問協議、郵局協議、簡單郵件傳輸協議、Internet信息服務）。

點擊下一步 - 分配 - 若是提示是否覆蓋SMTP就點擊是 - 完成，便可完成證書分配服務。

3、使用Exchange生成CSR請求文件和完成證書安裝

上述創建在既有的pfx證書前提下進行的導入證書並配置服務，而Exchange 2010也和IIS同樣，具有新建證書請求 和 完成證書請求功能。此舉能夠代替openSSL和IIS的製做證書過程。

1. 新建證書請求

打開 Exchange管理控制檯 - 新建 Exchange 證書

在域範圍頁中，若是但願製做通配符證書能夠啓用此項，若是非通配符證書在下一步進行子域名設置，選擇下一步。

2. 填寫CSR證書請求文件信息

和其它CSR製做同樣，設定通用名稱爲一個子域名，例如 smtp.yourdomain.com，而後填寫組織、單位等信息、郵箱等信息點擊完成，這樣就完成了整個證書請求文件的生成。此時私鑰也一併生成，將此CSR文件提交給support@infinisign.com申請證書。

3. 完成證書安裝

CA簽發證書後，在Exchange管理控制檯中點擊完成等待請求，選擇簽發的證書，點擊完成也完成了證書導入工做。

注意：Exchange 2010有時會提示錯誤信息The source data is corrupted or not properly Base64 encoded.一般這是自簽名證書引發，嘗試從新制做CSR。

4、Exchange 命令行管理程序進行安裝

你可使用Exchange 命令行管理程序進行安裝由CA簽發的證書，具體命令以下：

1. 導入pfx證書

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\your_domain_name.p7b -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

2. 使用Exchange新建證書過程

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\your_domain_name.cer -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

注意：注意SMTP能夠修改成 "IIS,POP,IMAP,SMTP"支持多個選項

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\your_domain_name.cer -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services "IIS,POP,IMAP,SMTP"