配置 Exchange 2016 证书

 

估计完成时间:10 到 15 分钟(不包括证书颁发机构的响应时间)

有些服务,如 Outlook Anywhere 和 Exchange ActiveSync,要求在 Exchange 2016 服务器上配置证书。你可以选择重用安装在预先存在的 Exchange 服务器上的 SSL 证书,或从第三方证书颁发机构 (CA) 购买新的 SSL 证书。如果你决定重用证书,则你在 Exchange 2016 虚拟目录上配置的主机名必须与在 SSL 证书上配置的主机名匹配。

  1. 浏览至您的邮箱服务器的 URL,打开 EAC。例如,https://Ex2016/ECP。

  2. 在“域名\用户名”和“密码”中输入用户名和密码,然后单击“登录”。

  3. 转到“服务器”>“证书”。在“证书”页面上,确保在“选择服务器”字段中选择了邮箱服务器,然后单击“新建”添加图标

  4. 在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。

  5. 指定此证书的名称,然后单击“下一步”。

  6. 如果您要申请通配符证书,请选择“申请通配符证书”,然后在“根域”字段中指定所有子域的根域。如果您不想申请通配符证书,而是要指定要添加到证书的每个域,则将该页留空。单击“下一步”。

  7. 单击“浏览”,指定用于存储证书的 Exchange 服务器。您选择的服务器应是面向 Internet 的邮箱服务器。单击“下一步”。

  8. 对于下表的每个服务,验证用户将用来连接到 Exchange 服务器的外部或内部服务器名称是否正确。例如:

    • 如果您配置的内部 URL 和外部 URL 相同,“Outlook Web App (从 Internet 访问)”和“Outlook Web App (从 Intranet 访问)”应显示 owa.contoso.com。“OAB (从 Internet 访问)”和“OAB (从 Intranet 访问)”应显示 mail.contoso.com。

    • 如果将内部 URL 配置为 internal.contoso.com,“Outlook Web App (从 Internet 访问)”应显示 owa.contoso.com,“Outlook Web App (从 Intranet 访问)”应显示 internal.contoso.com。

    这些域将用于创建 SSL 证书申请。单击“下一步”。

  9. 添加您要在 SSL 证书中包括的其他任何域。

  10. 选择您希望用作证书常用名的域(例如,contoso.com),然后单击“设置为常用名”。单击“下一步”。

  11. 提供有关您的组织的信息。此信息将包含在 SSL 证书中。单击“下一步”。

  12. 指定用于保存此证书申请的网络位置。单击“完成”。

保存证书申请之后,将此申请提交给您的证书颁发机构。该机构可能是内部 CA 或第三方 CA,这取决于您的组织。连接到邮箱服务器的客户端必须信任您使用的 CA。从 CA 获得证书后,请完成下列步骤:

  1. 在 EAC 的“服务器”>“证书”页面,选择您在之前步骤中创建的证书申请。

  2. 在证书申请的详细信息窗格中,单击状态下面的“完成”。

  3. 在“完成搁置请求”页面上,指定 SSL 证书文件的路径,然后单击“确定”。

  4. 选择您刚添加的新证书,然后单击“编辑”编辑图标

  5. 在证书页面上,单击“服务”。

  6. 选择您要分配给此证书的服务。如果您使用这些服务,至少应选择“IIS”,但您也可以选择“IMAP”、“POP”和“UM 呼叫路由器”。如果希望使用安全传输,您也可以选择“SMTP”以使该证书对 Exchange 2016 传输可用。单击“保存”。

  7. 如果您收到警告“是否覆盖现有的默认 SMTP 证书?”,单击“是”。

首先,需要按照以下步骤,使用证书私钥将证书从预先存在的 Exchange 服务器中导出:

  1. 使用管理员用户帐户直接登录到预先存在的 Exchange 客户端访问服务器。

  2. 打开空 Microsoft 管理控制台 (MMC)。

  3. 单击“文件”,然后单击“添加/删除管理单元”。

  4. 在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加 >”。

  5. 在显示的“证书管理单元”窗口中,选择“计算机帐户”,然后单击“下一步”。

  6. 选择“本地计算机”,然后单击“结束”。然后单击“确定”。

  7. 在“控制台根目录”下,依次展开“证书(本地计算机)”、“个人”和“证书”。

  8. 选择 Exchange 使用的第三方证书,它与在 Exchange 2016 服务器上配置的主机名匹配。这必须是第三方证书,而非自行签署证书。

  9. 右键单击此证书,选择“所有任务”,然后单击“导出”。

  10. 在“证书导出向导”中,单击“下一步”。

  11. 选择“是,导出私钥”,然后单击“下一步”。

    重要说明重要说明:
    您应该可以使用证书私钥从 Exchange 服务器导出证书。如果您无法访问证书私钥,您将无法在 Exchange 2016 服务器上使用证书。您需要使用“如何获取和安装第三方 SSL 证书?”中的步骤来获取 Exchange 2016 服务器证书。
  12. 确保已选择“个人信息交换 - PKCS #12 (.PFX)”和“如果可能则包括证书路径中的所有证书”。确保未选择其他选项。单击“下一步”。

  13. 选择“密码”,输入密码以帮助保障证书安全。单击“下一步”。

  14. 为新证书指定新文件名。使用 .pfx 作为文件扩展名。单击“下一步”,然后单击“完成”。

  15. 如果证书导出成功,您将收到确认提示。单击“确定”关闭。

  16. 将创建的 .pfx 文件复制到面向 Internet 的 Exchange 2016 邮箱服务器。

从预先存在的 Exchange 服务器导出证书后,需要按照以下步骤,将证书导入到 Exchange 2016 服务器:

  1. 用管理员用户帐户登录到面向 Internet 的 Exchange 2016 邮箱服务器。

  2. 打开空白的 MMC。

  3. 单击“文件”,然后单击“添加/删除管理单元”。

  4. 在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加 >”。

  5. 在显示的“证书管理单元”窗口中,选择“计算机帐户”,然后单击“下一步”。

  6. 选择“本地计算机”,然后单击“结束”。然后单击“确定”。

  7. 在“控制台根目录”下,依次展开“证书(本地计算机)”和“个人”。

  8. 右键单击“个人”,选择“所有任务”并单击“导入”。

  9. 在“证书导入向导”中,单击“下一步”。

  10. 单击“浏览”,选择已复制到 Exchange 2016 邮箱服务器的 .pfx 文件。单击“打开”,然后单击“下一步”。

    注意注意:
    您可能需要在“打开”窗口中,将“文件名”筛选器更改为“所有文件 (*.*)”,才能看到 .pfx 文件。
  11. 在“密码”字段中,输入在预先存在的 Exchange 服务器上导出证书时为帮助保障证书安全而使用的密码。

  12. 验证是否已选择“包括所有扩展属性”,然后单击“下一步”。

  13. 验证是否已选择“将所有的证书放入下列存储”,并且“个人”是否显示在“证书存储”中。单击“下一步”,然后单击“完成”。

  14. 如果证书导入成功,您将收到确认提示。单击“确定”关闭。

新证书现在已导入到 Exchange 2016 邮箱服务器,您需要按照以下步骤将其分配到 Exchange 服务:

  1. 浏览至您的 Exchange 2016 邮箱服务器的 URL,打开 EAC。例如,https://Ex2016/ECP。

  2. 在“域名\用户名”和“密码”中输入用户名和密码,然后单击“登录”。

  3. 在 EAC 中的“服务器”>“证书”页上,选择您刚刚添加的新证书,然后单击“编辑” 编辑图标

  4. 在证书页面上,单击“服务”。

  5. 选择您要分配给此证书的服务。如果您使用这些服务,至少应选择“IIS”,但您也可以选择“IMAP”、“POP”和“UM 呼叫路由器”。如果希望使用安全传输,您也可以选择“SMTP”以使该证书对 Exchange 2016 传输可用。单击“保存”。

  6. 如果您收到警告“是否覆盖现有的默认 SMTP 证书?”,单击“是”。

要验证是否已成功添加新证书,请执行以下操作:

  1. 在 EAC 中,转到“服务器”>“证书”。

  2. 选择新证书,然后在证书详细信息窗格中确认以下信息是否准确:

    • “状态”显示“有效”。

    • “分配到服务”至少将显示“IIS”以及可选择的“IMAP”、“POP”、“UM 呼叫路由器”和“SMTP”。

有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

 
显示: