配置 Exchange 2007 混合部署中的 Exchange 证书

  • 项目

 

**适用于:**Exchange Online, Office 365

估计完成时间:10 分钟

数字证书是保证内部部署 Exchange 2010 混合服务器、客户端和 Exchange Online 组织之间安全通信的重要要求。您需要从第三方受信任证书颁发机构 (CA) 获取一个可在混合服务器上安装的证书。建议证书的公用名与您组织的主 SMTP 域相匹配。

可在以下位置了解详细信息:了解混合部署的证书要求

如何获取证书?

在混合服务器上配置证书之前,需要从受信任的 CA 获取证书。如果需要生成证书请求,以请求将在混合服务器上使用的新证书,请在混合服务器上完成以下操作。

  1. 在控制台树中,单击内部部署 Exchange 组织的“服务器配置”。

  2. 在操作窗格中,单击“新建 Exchange 证书”以打开“新建 Exchange 证书”向导。

  3. 在“简介”页上的“输入证书的友好名称”字段中,为证书请求提供一个描述性名称,然后单击“下一步”。

  4. 在“域作用域”页上,选中“启用通配符证书”复选框。可以使用该设置指定要创建的通配符证书的根域。除非您要将许多域包括到该证书中,否则建议您不要选中该复选框。单击“下一步”。

    备注

    如果选择启用通配符证书,请跳到步骤 7。

  5. 如果未在“域作用域”页上启用通配符证书,请在“Exchange 配置”页上,选择下面每一项服务,然后单击“下一步”:

    1. 在“客户端访问服务器(Outlook Web App)”下,选择“Outlook Web App 已连接到 Intranet”,然后指定安装了客户端访问服务器角色的混合服务器的内部 FQDN。例如,Ex2010.corp.contoso.com。然后,选择“Outlook Web App 已连接到 Internet”并指定此混合服务器的外部 FQDN。例如,hybrid.contoso.com。

    2. 在“客户端访问服务器(Exchange ActiveSync)”下,选择“已启用 Exchange 活动同步”,然后指定安装了客户端访问服务器角色的混合服务器的外部 FQDN。

    3. 在“客户端访问服务器(Web 服务、Outlook 无处不在 和自动发现)”下,选择“已启用 Exchange Web 服务”。然后,选择“已启用 Outlook 无处不在”并指定安装和客户端访问服务器角色的混合服务器的外部 FQDN。接下来,依次选择“在 Internet 上使用自动发现”和“长 URL”,然后指定要用于此混合服务器的自动发现 URL。例如,autodiscover.contoso.com。

    4. 在“集线器传输服务器” 下,选择“使用相互 TLS 帮助保护 Internet 邮件” ,然后指定安装了集线器传输服务器角色的 Exchange 2010 SP3 服务器的外部 FQDN。例如,hybrid.contoso.com。如果计划为您组织中的混合邮件使用边缘传输服务器而不是集线器传输服务器,则在指定集线器传输服务器的外部 FQDN 以外,还必须指定边缘传输服务器的外部 FQDN。例如,hybrid.contoso.com、edge.contoso.com。

    5. 在“旧版 Exchange 服务器”下   选择“使用旧版域”,然后指定您的 Exchange 2007 服务器的 FQDN。例如,mail.contoso.com。

  6. 在“证书域”页上,查看要添加到此证书的域。验证上一页中指定的域是否存在。然后,执行以下操作并单击“下一步”:

    1. 单击“添加”并指定混合服务器的 OWA 域。例如,owa.contoso.com。单击“确定”。

    2. 验证 Exchange 服务器的外部 FQDN 是否已设置为公用名。如果未设置,请选择外部 FQDN 条目,然后单击“设置为公用名”。

  7. 在“组织和位置”页上,提供相关信息。与位置相关的设置将应用于混合服务器的位置。然后,单击“下一步”。

  8. 在“证书配置”页上,验证您的设置并单击“新建”。

  9. 在“完成”页上,单击“完成”。

  10. 向受信任的第三方 CA 提交所生成的请求。您必须选择允许使用步骤 6 中所指定域名数量的证书。按照 CA 的说明选择并获取证书。

  11. 将从 CA 获取的证书保存在混合服务器可访问的某个网络位置上。

可在以下位置了解详细信息:了解数字证书和 SSL

如何导入并配置证书?

获取证书之后,在您的所有混合服务器上完成以下步骤以导入证书,并将 Exchange 服务配置为使用该证书实现混合部署:

  1. 在控制台树中,单击内部部署 Exchange 组织节点的“服务器配置”。

  2. 在操作窗格中,单击“导入 Exchange 证书”以打开“导入 Exchange 证书”向导。

  3. 在“简介”页上,单击“浏览”以选择包含要用于混合部署的证书文件,然后输入该证书的密码。

  4. 在“Exchange Server 选择”页上,选择所有内部部署混合服务器,然后单击“下一步”。

  5. 在“导入 Exchange 证书”页上,验证之前选择的所有选项是否都正确,然后单击“导入”。

  6. 在“完成”页上,验证是否已成功导入证书,然后单击“完成”。

  7. 在控制台树中,单击内部部署 Exchange 组织节点的“服务器配置”,然后选择刚才导入的证书。

    重要说明重要说明:
    验证选择的证书是否为第三方受信任证书颁发机构 (CA) 颁发的证书。如果选择自签名证书并为其分配服务,则“管理混合配置”向导将无法运行。

  8. 在操作窗格中,单击“为服务分配证书”打开“为服务分配证书”向导。

  9. 在“选择服务器”页上,选择内部部署混合服务器,然后单击“下一步”。

  10. 在“选择服务”页上,使用“选择服务”部分中的复选框选择要分配给证书的服务。如果在创建证书期间选择了相应服务,则这些服务对应的复选框将处于已选中状态。至少必须为安装了集线器传输服务器角色的混合服务器选择“简单邮件传输协议(SMTP)”,为安装了客户端访问服务器角色的混合服务器选择“Internet 信息服务(IIS)”。如果您要遵循在每个混合服务器上组合客户端访问服务器角色与集线器传输服务器角色的最佳实践,则应将这些服务分配给每个混合服务器上的第三方受信任证书。单击“下一步”。

    备注

    如果显示“是否覆盖现有默认的 SMTP 证书”对话框,请选择“否”。

  11. 在“分配服务”页上,验证配置摘要并单击“分配”。

  12. 在“完成”页上,验证是否已正确分配所有服务。

我如何知道这有效?

成功完成“导入 Exchange 证书”向导和“为证书分配服务”向导初步表示,导入证书和为证书分配服务按预期完成。

若要进一步验证是否已成功导入证书,可以在混合服务器上的 Exchange 命令行管理程序中运行以下命令,以查看本地证书存储中的证书和为证书分配的服务。

Get-ExchangeCertificate

此时应看到您安装的证书列出在 Get-ExchangeCertificate cmdlet 返回的 Exchange 证书列表中,其中包括证书指纹及分配给证书的服务。请验证是否为第三方受信任证书颁发机构 (CA) 颁发的证书分配了正确的 IIS 和 SMTP 服务。

有疑问吗?请在 Office 365 论坛中寻求帮助。若要访问论坛,您需要使用已拥有对基于云的服务的管理员访问权限的帐户进行登录。请访问以下论坛:Office 365 论坛