配置 Exchange 2016 证书
估计完成时间:10 到 15 分钟(不包括证书颁发机构的响应时间)
有些服务,如 Outlook Anywhere 和 Exchange ActiveSync,要求在 Exchange 2016 服务器上配置证书。你可以选择重用安装在预先存在的 Exchange 服务器上的 SSL 证书,或从第三方证书颁发机构 (CA) 购买新的 SSL 证书。如果你决定重用证书,则你在 Exchange 2016 虚拟目录上配置的主机名必须与在 SSL 证书上配置的主机名匹配。
如何获取和安装第三方 SSL 证书?
浏览至您的邮箱服务器的 URL,打开 EAC。例如,https://Ex2016/ECP。
在“域名\用户名”和“密码”中输入用户名和密码,然后单击“登录”。
转到“服务器”>“证书”。在“证书”页面上,确保在“选择服务器”字段中选择了邮箱服务器,然后单击“新建”。
在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。
指定此证书的名称,然后单击“下一步”。
如果您要申请通配符证书,请选择“申请通配符证书”,然后在“根域”字段中指定所有子域的根域。如果您不想申请通配符证书,而是要指定要添加到证书的每个域,则将该页留空。单击“下一步”。
单击“浏览”,指定用于存储证书的 Exchange 服务器。您选择的服务器应是面向 Internet 的邮箱服务器。单击“下一步”。
对于下表的每个服务,验证用户将用来连接到 Exchange 服务器的外部或内部服务器名称是否正确。例如:
如果您配置的内部 URL 和外部 URL 相同,“Outlook Web App (从 Internet 访问)”和“Outlook Web App (从 Intranet 访问)”应显示 owa.contoso.com。“OAB (从 Internet 访问)”和“OAB (从 Intranet 访问)”应显示 mail.contoso.com。
如果将内部 URL 配置为 internal.contoso.com,“Outlook Web App (从 Internet 访问)”应显示 owa.contoso.com,“Outlook Web App (从 Intranet 访问)”应显示 internal.contoso.com。
这些域将用于创建 SSL 证书申请。单击“下一步”。
添加您要在 SSL 证书中包括的其他任何域。
选择您希望用作证书常用名的域(例如,contoso.com),然后单击“设置为常用名”。单击“下一步”。
提供有关您的组织的信息。此信息将包含在 SSL 证书中。单击“下一步”。
指定用于保存此证书申请的网络位置。单击“完成”。
保存证书申请之后,将此申请提交给您的证书颁发机构。该机构可能是内部 CA 或第三方 CA,这取决于您的组织。连接到邮箱服务器的客户端必须信任您使用的 CA。从 CA 获得证书后,请完成下列步骤:
在 EAC 的“服务器”>“证书”页面,选择您在之前步骤中创建的证书申请。
在证书申请的详细信息窗格中,单击状态下面的“完成”。
在“完成搁置请求”页面上,指定 SSL 证书文件的路径,然后单击“确定”。
选择您刚添加的新证书,然后单击“编辑”。
在证书页面上,单击“服务”。
选择您要分配给此证书的服务。如果您使用这些服务,至少应选择“IIS”,但您也可以选择“IMAP”、“POP”和“UM 呼叫路由器”。如果希望使用安全传输,您也可以选择“SMTP”以使该证书对 Exchange 2016 传输可用。单击“保存”。
如果您收到警告“是否覆盖现有的默认 SMTP 证书?”,单击“是”。
如何重用预先存在的 Exchange SSL 证书?
首先,需要按照以下步骤,使用证书私钥将证书从预先存在的 Exchange 服务器中导出:
使用管理员用户帐户直接登录到预先存在的 Exchange 客户端访问服务器。
打开空 Microsoft 管理控制台 (MMC)。
单击“文件”,然后单击“添加/删除管理单元”。
在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加 >”。
在显示的“证书管理单元”窗口中,选择“计算机帐户”,然后单击“下一步”。
选择“本地计算机”,然后单击“结束”。然后单击“确定”。
在“控制台根目录”下,依次展开“证书(本地计算机)”、“个人”和“证书”。
选择 Exchange 使用的第三方证书,它与在 Exchange 2016 服务器上配置的主机名匹配。这必须是第三方证书,而非自行签署证书。
右键单击此证书,选择“所有任务”,然后单击“导出”。
在“证书导出向导”中,单击“下一步”。
选择“是,导出私钥”,然后单击“下一步”。
重要说明: 您应该可以使用证书私钥从 Exchange 服务器导出证书。如果您无法访问证书私钥,您将无法在 Exchange 2016 服务器上使用证书。您需要使用“如何获取和安装第三方 SSL 证书?”中的步骤来获取 Exchange 2016 服务器证书。 确保已选择“个人信息交换 - PKCS #12 (.PFX)”和“如果可能则包括证书路径中的所有证书”。确保未选择其他选项。单击“下一步”。
选择“密码”,输入密码以帮助保障证书安全。单击“下一步”。
为新证书指定新文件名。使用 .pfx 作为文件扩展名。单击“下一步”,然后单击“完成”。
如果证书导出成功,您将收到确认提示。单击“确定”关闭。
将创建的 .pfx 文件复制到面向 Internet 的 Exchange 2016 邮箱服务器。
从预先存在的 Exchange 服务器导出证书后,需要按照以下步骤,将证书导入到 Exchange 2016 服务器:
用管理员用户帐户登录到面向 Internet 的 Exchange 2016 邮箱服务器。
打开空白的 MMC。
单击“文件”,然后单击“添加/删除管理单元”。
在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加 >”。
在显示的“证书管理单元”窗口中,选择“计算机帐户”,然后单击“下一步”。
选择“本地计算机”,然后单击“结束”。然后单击“确定”。
在“控制台根目录”下,依次展开“证书(本地计算机)”和“个人”。
右键单击“个人”,选择“所有任务”并单击“导入”。
在“证书导入向导”中,单击“下一步”。
单击“浏览”,选择已复制到 Exchange 2016 邮箱服务器的 .pfx 文件。单击“打开”,然后单击“下一步”。
备注
您可能需要在“打开”窗口中,将“文件名”筛选器更改为“所有文件 (.)”,才能看到 .pfx 文件。
在“密码”字段中,输入在预先存在的 Exchange 服务器上导出证书时为帮助保障证书安全而使用的密码。
验证是否已选择“包括所有扩展属性”,然后单击“下一步”。
验证是否已选择“将所有的证书放入下列存储”,并且“个人”是否显示在“证书存储”中。单击“下一步”,然后单击“完成”。
如果证书导入成功,您将收到确认提示。单击“确定”关闭。
新证书现在已导入到 Exchange 2016 邮箱服务器,您需要按照以下步骤将其分配到 Exchange 服务:
浏览至您的 Exchange 2016 邮箱服务器的 URL,打开 EAC。例如,https://Ex2016/ECP。
在“域名\用户名”和“密码”中输入用户名和密码,然后单击“登录”。
在 EAC 中的“服务器”>“证书”页上,选择您刚刚添加的新证书,然后单击“编辑” 。
在证书页面上,单击“服务”。
选择您要分配给此证书的服务。如果您使用这些服务,至少应选择“IIS”,但您也可以选择“IMAP”、“POP”和“UM 呼叫路由器”。如果希望使用安全传输,您也可以选择“SMTP”以使该证书对 Exchange 2016 传输可用。单击“保存”。
如果您收到警告“是否覆盖现有的默认 SMTP 证书?”,单击“是”。
我如何知道这有效?
要验证是否已成功添加新证书,请执行以下操作:
在 EAC 中,转到“服务器”>“证书”。
选择新证书,然后在证书详细信息窗格中确认以下信息是否准确:
“状态”显示“有效”。
“分配到服务”至少将显示“IIS”以及可选择的“IMAP”、“POP”、“UM 呼叫路由器”和“SMTP”。
有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange Server、Exchange Online 或 Exchange Online Protection。