创建证书以便在统一消息中启用 Mutual TLS

  • 项目

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-07-23

您可以为统一消息 (UM) 拨号计划启用 IP 语音 (VoIP) 安全性。默认情况下,创建 UM 拨号计划后,拨号计划将使用非安全模式,或者不使用加密。将 UM 拨号计划配置为使用会话初始协议安全(SIP 安全)模式或安全模式后,与 UM 拨号计划关联的统一消息服务器将加密 SIP 信号通信,或加密实时传输协议 (RTP) 媒体通道和 SIP 信号通信。

若要使 UM 服务器加密 IP 网关和 IP PBX 之间发送的数据,则必须:

  • 新建一个可用于相互 TLS 的自签名或公用证书。

  • 将证书与 UM 服务器相关联。

  • 将 UM 拨号计划配置为 SIP 安全或安全。

  • 配置 UM 服务器上的启动模式。

  • 在 UM IP 网关上将侦听端口配置为使用 TCP 端口 5061。

  • 导入 IP 网关或 IP PBX 上的证书。

先决条件

安装统一消息服务器角色后,必须创建一个可用于对 UM 服务器和 IP 网关或 IP PBX 之间的数据进行加密的证书。

使用 EMC 创建新的 Exchange 证书

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅统一消息权限主题中的“UM 服务器”条目。您还必须确保登录时所用的帐户是该计算机上本地 Administrators 组的成员。

  1. 在控制台树中,单击“服务器配置”。

  2. 在操作窗格中,单击“新建 Exchange 证书”可打开新建 Exchange 证书向导。

  3. 在“简介”页中,为您的证书输入一个友好名称。

  4. 在“域作用域”页中,不选中“为此证书启用通配符”复选框。

  5. 在“Exchange 配置”页上,展开“统一消息服务器”。

  6. 选择“自签名证书”或“公用证书”,在“UM 服务器的完全限定域名 (FQDN)”框中输入 UM 服务器的完全限定域名 (FQDN),然后单击“下一步”。

  7. 在“组织和位置”页中,输入您的 Exchange 组织的相关信息。

  8. 在“证书完成”页中,验证输入的所有信息是否正确。如果正确,请单击“新建”。

  9. 在“完成”页中,按照所列步骤完成您的请求。此页也包含新建证书所必需的 cmdlet 语法。

使用命令行管理程序新建 Exchange 证书

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅统一消息权限主题中的“UM 服务器”条目。您还必须确保登录时所用的帐户是该计算机上本地 Administrators 组的成员。

本示例为名为 MyUMServer 的服务器新建一个 Exchange 证书,证书的友好名称为 UMCert

New-ExchangeCertificate -FriendlyName 'UMCert' -GenerateRequest -PrivateKeyExportable $true -KeySize '2048' -DomainName '*.contoso.com' -SubjectName 'C=US,S=wa,L=redmond,O=contoso,OU=servers,CN=contoso.com' -Server 'MyUMServer'

其他任务

为统一消息创建证书之后,您可能还需要:

 © 2010 Microsoft Corporation。保留所有权利。