建立新的Exchange Server自我簽署憑證
當您安裝Exchange Server時,由 Exchange Server 本身建立和簽署的自我簽署憑證會自動安裝在伺服器上。 不過,您也可以建立其他可使用的自我簽署憑證。
您可以在 Exchange 系統管理中心 (EAC) 或 Exchange 管理命令介面中建立自我簽署憑證憑證。
開始之前有哪些須知?
預估完成時間:5 分鐘。
Exchange 自我簽署憑證適用于加密內部 Exchange 伺服器之間的通訊,但不適用於加密外部連線,因為用戶端、伺服器和服務不會自動信任 Exchange 自我簽署憑證。 若要為所有用戶端、伺服器和服務自動信任的商業憑證授權單位單位建立憑證要求 (也稱為憑證簽署要求或 CSR) ,請參閱建立憑證授權單位單位的Exchange Server憑證要求。
當您使用 New-ExchangeCertificate Cmdlet 建立新的自我簽署憑證時,可以在建立憑證期間將憑證指派給 Exchange 服務。 如需 Exchange 服務的詳細資訊,請參閱將憑證指派給Exchange Server服務。
若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 用戶端和行動裝置 許可權主題中的專案。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange Server、Exchange Online 或 Exchange Online Protection。
使用 EAC 建立新的 Exchange 自我簽署憑證
開啟 EAC 並流覽至[伺服器憑>證]。
在 [選取伺服器]清單中,選取您要安裝憑證的 Exchange 伺服器,然後按一下 [
![新增] 圖示。](../../exchangeserver/media/itpro_eac_addicon.png?view=exchserver-2019)
[新增 Exchange 憑證精靈] 隨即開啟。 在 [ 此精靈將建立新的憑證或憑證要求檔案 ] 頁面上,選取 [ 建立自我簽署憑證],然後按 [ 下一步]。
注意:若要為憑證授權單位單位建立新的憑證要求,請參閱建立憑證授權單位單位的Exchange Server憑證要求。
在此憑 證的 [易記名稱 ] 頁面上,輸入憑證的易記名稱,然後按 [ 下一步]。
在 [指定您要套用此憑證的伺服器]頁面中,按一下 [
在開啟的 [選取伺服器] 頁面上,選取您要安裝憑證的 Exchange 伺服器,然後按一下 [新增 -] >。 視需要重複此步驟多次。 當您完成選取伺服器時,按一下 [ 確定]。
完成後,按 [下一步]。
[ 指定您要包含在憑證中的網域 ] 頁面基本上是一個工作表,可協助您判斷憑證中下列 Exchange 服務所需的內部和外部主機名稱:
Outlook 網頁版
離線通訊錄產生 (OAB)
Exchange Web 服務
Exchange ActiveSync
自動探索
流行
網際網路訊息存取通訊協定 (IMAP)
Outlook 無所不在
如果您根據內部或外部) (位置輸入每個服務的值,精靈會決定憑證中所需的主機名稱,而資訊會顯示在下一頁。 若要修改服務的值,請按一下 [ 編輯 (
![編輯] 圖示。](../../exchangeserver/media/itpro_eac_editicon.png?view=exchserver-2019)
) 並輸入您要使用的主機名稱值 (或刪除) 值。 完成後,按 [下一步]。如果您已經判斷出憑證中所需的主機名稱值,則不需要填寫此頁面上的資訊。 請改為按一下 [下一步 ],在下一頁手動輸入主機名稱。
根據您的選擇,下列網域將包含在您的憑證頁面中,列出將包含在自我簽署憑證中的主機名稱。 憑證的 [ 主體 ] 欄位中使用的主機名稱是粗體,很難看出是否已選取該主機名稱。 您可以根據您在上一頁所做的選擇,驗證憑證中所需的主機名稱專案。 或者,您可以忽略最後一頁中的值,並新增、編輯或移除主機名稱值。
如果您想要 SAN 憑證, [主體 ] 欄位仍然需要一個通用名稱 (CN) 值。 若要選取憑證 [ 主體 ] 欄位的主機名稱,請選取值,然後按一下 [設定為一般名稱 (核取標記) 。 值現在應該會顯示為粗體。
如果您想要單一主機名稱的憑證,請一次選取一個其他值,然後按一下 [移除 (
![移除] 圖示。](../../exchangeserver/media/itpro_eac_removeicon.png?view=exchserver-2019)
) 。當您在此頁面上完成時,按一下 [ 完成]。
附註:
- 您無法刪除將用於憑證 [ 主體 ] 欄位的粗體主機名稱值。 首先,您必須選取或新增不同的主機名稱,然後按一下 [設定為一般名稱 (核取標記) 。
- 如果您按一下 [ 上 一頁] 按鈕,您在此頁面上所做的變更可能會遺失。
使用 Exchange 管理命令介面建立新的 Exchange 自我簽署憑證
若要建立新的 Exchange 自我簽署憑證,請使用下列語法:
New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]
此範例會在本機 Exchange 伺服器上建立具有下列屬性的自我簽署憑證:
- 主旨:< ServerName >。 例如,如果您在名為 Mailbox01 的伺服器上執行 命令,則值為
Mailbox01。 - 主體別名:< ServerName >、 < Server FQDN > 。 例如,
Mailbox01, Mailbox01.contoso.com。 - 易記名稱:Microsoft Exchange
- 服務:POP、IMAP、SMTP。
New-ExchangeCertificate
此範例會使用下列屬性,在本機 Exchange 伺服器上建立自我簽署憑證:
- 主旨:Exchange01,其需要值
CN=Exchange01。 請注意,此值會自動包含在 DomainName 參數中, ([ 主體別名] 字 段) 。 - 其他主體別名:
- mail.contoso.com
- autodiscover.contoso.com
- Exchange01.contoso.com
- Exchange02.contoso.com
- 服務:SMTP、IIS
- 易記名稱:Contoso Exchange 憑證
- 私密金鑰是可匯出的。 這可讓您從伺服器匯出憑證 (,並將其匯入其他伺服器) 。
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true
附註:
- (憑證的 [主體] 欄位) ,X.500 SubjectName參數值的唯一必要部分是
CN=<HostNameOrFQDN>。 - 某些 Services 參數值會產生警告或確認訊息。 如需詳細資訊,請參閱將憑證指派給Exchange Server服務。
- 如需詳細資訊,請參閱 New-ExchangeCertificate。
如何知道這是否正常運作?
若要確認您已成功建立 Exchange 自我簽署憑證,請執行下列其中一個步驟:
在 [伺服器憑證的 EAC]中> ,確認已選取您建立自我簽署憑證的伺服器。 憑證應該會在憑證清單中,且其 [狀態] 值為 [有效]。
在您建立自我簽署憑證之伺服器上的 Exchange 管理命令介面中,執行下列命令並確認屬性:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter