配置 SSL 证书使用多个客户端访问服务器主机名称
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-01-20
可以使用命令行管理程序将安全套接字层 (SSL) 证书配置为使用多个主机名称。
当您部署 Microsoft Exchange Server 2010 客户端访问服务器时,必须确保所有的客户端(如 Microsoft Office Outlook Web App 和 Office Outlook 2007)都能够使用加密的会话连接到服务,而不会接收到说明证书不受信任的错误消息。
通过使用命令行管理程序,可以创建证书请求以包含所有客户端访问服务器的 DNS 主机名。然后,用户即可连接到在备选名称属性中列出的服务(如 Outlook Anywhere、Autodiscover、POP3 和 IMAP4 或统一消息)的证书。例如,用户可以通过指定名称连接到 Exchange 服务,如以下示例所示:
- https://CAS01/owa
- https://CAS01.FQDN.name/owa
- https://CASIntranetName/owa
- https://autodiscover.emaildomain.com
除了需要多个证书并为每个 IP 端口和证书绑定维护多个 IP 地址的配置和 Internet Information Services (IIS) 网站外,可以创建单一证书,使客户端能够使用 SSL 或传输层安全 (TLS) 成功连接到每个主机名称。
可以通过在证书请求上的证书“Subject Alternative Name”属性添加所有可能的 DNS 名称值创建单一证书。基于 Windows 的证书服务证书颁发机构应为这样的请求创建一个证书。
备注
第三方证书颁发结构或基于 Internet 的证书颁发结构将只对授权给您使用的 DNS 名称颁发证书。因此,可能不允许使用 Intranet DNS 名称。
若要配置 SSL 证书使用多个客户端访问服务器主机名称,请执行下列操作:
- 使用 New-ExchangeCertificate cmdlet 创建证书请求文件。
- 将此文件发送到 Windows 证书服务证书颁发机构,并使用在“证书颁发机构”页上的“Web 服务器”模板。这样会生成一个 .cer 文件,可导入客户端访问服务器。
- 使用 Get-ExchangeCertificate cmdlet 决定证书的指纹。
- 导入证书后,可以使用 Enable-ExchangeCertificate cmdlet 将其分配给 IIS、IMAP4 和 POP3。
若要了解与 SSL 相关的其他管理任务,请查看管理客户端访问服务器的 SSL。
先决条件
- 使用不属于 Administrators 组的帐户登录到计算机,然后使用 runas 命令,以管理员身份运行 IIS 管理器。这是最安全的做法。为此,请在命令提示符处键入 **runas /user:**Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc"。
- 已阅读Exchange 2010 中的 TLS 功能以及相关术语。其中包含有关为 SSL 或 TLS 服务配置证书时必须考虑的许多变量的信息,以及有关这些变量如何影响整体配置的信息。
使用命令行管理程序创建证书请求文件
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。
该示例将创建一个文本文件,其中包含 PKCS#10 格式的证书请求。
New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt
使用命令行管理程序导入证书
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。
此示例导入以前获取的证书。
Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
使用命令行管理程序确定证书指纹
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。
此示例确定与 CAS01 主机名匹配的证书指纹。
Get-ExchangeCertificate -DomainName "CAS01"
备注
如果存在若干个证书与指定的主机名称匹配,该示例将返回多个证书。因此,请确保选择的是所请求的正确证书的指纹。
使用命令行管理程序将证书分配给 IIS、POP3 和 IMAP4
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。
本示例将证书分配给 IIS、POP3 和 IMAP4。
Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
本示例将证书分配给服务器,然后该服务器再将证书分配给 Exchange 服务器上正在运行的所有服务。
Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"
有关 Import-ExchangeCertificate、Enable-ExchangeCertificate、Get-ExchangeCertificate 和 New-ExchangeCertificate cmdlet 的语法和参数的详细信息,请参阅全局 Cmdlet。