从证书颁发机构获取服务器证书
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-01-15
可以从证书颁发机构 (CA) 获取服务器证书从证书颁发机构获得服务器证书是配置安全套接字层 (SSL) 或传输层安全性 (TLS) 的一个步骤。可以从第三方 CA 获得服务器证书。第三方 CA 可能要求您提供身份证明之后再颁发证书。另外,还可以使用联机 CA(如 Microsoft 证书服务)来颁发自己的服务器证书。
有关服务器证书的详细信息,请参阅 Windows Server 2003 Internet 信息服务 (IIS) 文档。
备注
Microsoft Exchange Server 2010 包括默认的自签名 SSL 证书。可以使用 CA 提供的第三方证书来替换此证书。为此,必须首先删除自行签署式证书。有关如何替换自签名证书的详细信息,请参阅在客户端访问服务器上安装 SSL 证书。
若要了解与 SSL 相关的其他管理任务,请查看管理客户端访问服务器的 SSL。
先决条件
重要
作为最佳安全实践,请使用不属于 Administrators 组的帐户登录到计算机,然后使用 runas 命令,以管理员的身份运行 IIS 管理器。在命令提示符下,键入 runas /user:Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc"。
使用命令行管理程序从证书颁发机构获取服务器证书
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。
下面的代码示例以 Base64 格式将证书请求输出到命令行控制台。必须将证书请求发送到组织中的 CA、组织外部的信任 CA 或商业 CA。可以通过将证书请求输出粘贴在电子邮件中或 CA 的证书请求网页上的相应字段中,以完成此操作。还可以使用诸如记事本这样的文本编辑器将证书请求保存到文件。
生成的证书具有以下关联的属性:
- 主题名称:c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com
- 主题备选名称:woodgrovebank.com 和 example.com
- 可导出的私钥
New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable
使用所选 CA 指定的步骤向 CA 发送证书请求。