配置 Exchange 证书

  • 项目

 

估计完成时间:10 分钟

数字证书是保证本地 Exchange 2016 服务器、客户端和 Office 365 之间安全通信的重要要求。您需要从第三方受信任证书颁发机构 (CA) 获取一个将在邮箱服务器和边缘传输服务器上安装的证书。用于本地 Exchange 2016 邮箱服务器之间的内部连接的安全通信使用自签名证书。建议证书的公用名与您组织的主 SMTP 域相匹配。

可在以下位置了解详细信息:混合部署的证书要求

如何获取证书?

在 Exchange 服务器上配置证书之前,需要从受信任的 CA 获取证书。如果需要生成对要用于混合部署的证书的请求,请在 Exchange 2016 邮箱服务器上完成以下任务。

  1. 通过浏览到 https://<FQDN of Mailbox server>/ECP 打开 EAC。

  2. 在“域名\用户名”和“密码”中输入用户名和密码,然后单击“登录”。

  3. 转到“服务器”>“证书”。在“证书”页上,确保在“选择服务器”字段中选择了面向 Internet 的 Exchange 2016 邮箱服务器,然后单击“添加”添加图标

  4. 在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。

  5. 指定此证书的名称,然后单击“下一步”。例如,“contoso.com”。

  6. 如果您要申请通配符证书,请选择“申请通配符证书”,然后在“根域”字段中指定所有子域的根域。如果您不想申请通配符证书,而是要指定要添加到证书的每个域,则将该页留空。单击“下一步”。

  7. 单击“浏览”,指定用于存储证书的 Exchange 服务器。您选择的服务器应是面向 Internet 的 Exchange 2016 邮箱服务器。单击“下一步”。

  8. 为列表中显示的每个服务指定用户将用来连接到 Exchange 服务器的外部或内部服务器名称。例如,对于“Outlook Web App (从 Internet 访问)”,您可以指定 owa.contoso.com。对于“OWA (从 Intranet 访问)”,您可以指定 internal.corp.contoso.com。这些域将用于创建 SSL 证书申请。单击“下一步”。

    重要说明重要说明:
    建议证书的公用名与您组织的主 SMTP 域相匹配。确保为证书分配主 SMTP 域作为证书的公用名。例如,选择“contoso.com”域,然后单击复选标记图标。

  9. {#Text:E16ADFSBullet1#}

    将 AD FS Web 代理服务器的 FQDN 添加到证书。例如,如果 AD FS Web 代理服务器的 FQDN 是 sts.contoso.com,则将此 FQDN 添加到证书。

  10. 添加您要在 SSL 证书中包括的其他任何域。如果正在部署边缘传输服务器作为混合部署的一部分,请添加边缘传输服务器的外部 FQDN。例如,“edge.contoso.com”。单击“下一步”。

  11. 提供有关您的组织的信息。此信息将包含在 SSL 证书中。单击“下一步”。

  12. 指定用于保存此证书申请的网络位置。单击“完成”。

如何导入并配置证书?

从受信任的 CA 获取证书之后,在 Exchange 2016 服务器上完成以下步骤可导入证书并将 Exchange 服务配置为使用该证书实现混合部署。还需要将证书导入到您的邮箱服务器,并分配 Exchange 服务:

  1. 在 EAC 中的“服务器”>“证书”页上,选择面向 Internet 的 Exchange 2016 邮箱服务器和您在之前步骤中创建的证书请求。

  2. 在证书申请的详细信息窗格中,单击“状态”下面的“完成”。

  3. 在等待完成申请页面,指定 SSL 证书文件的路径,然后单击“确定”。

  4. 选择您刚添加的新证书,然后单击“编辑”编辑图标

  5. 在证书页面上,单击“服务”。

  6. 选择您要分配给此证书的服务。至少,您应选择“SMTP”和“IIS”。单击“保存”。

  7. 如果您收到警告“是否覆盖现有的默认 SMTP 证书?”,单击“否”。

要将证书导入到其他邮箱服务器,并分配 Exchange 服务,请完成以下操作:

  1. 在 EAC 中的“服务器”>“证书”页上,选择另一个 Exchange 2016 邮箱服务器。

  2. 单击“更多选项”更多选项图标,然后选择“导入 Exchange 证书”。

  3. 输入已为混合部署配置的证书文件的路径。

  4. 输入证书的密码。

  5. 单击“下一步”。

  6. 单击 添加图标

  7. 选择邮箱服务器,然后依次单击“添加”、“确定”。

  8. 单击“完成”。

  9. 导入证书并在列表中列出之后,选择该证书,然后单击“编辑”编辑图标

  10. 在证书属性中,单击“服务”。

  11. 选中“SMTP”复选框,然后单击“保存”。

我如何知道这有效?

成功完成“新建 Exchange 证书”、“导入”和“分配服务”向导,即初步表明已经按预期向证书导入和分配服务。

若要进一步验证是否已成功导入证书,可以在 Exchange 服务器上的 Exchange 命令行管理程序中运行以下命令,以查看本地证书存储中的证书和为证书分配的服务。

Get-ExchangeCertificate |fl

此时应看到您安装的证书列出在 Get-ExchangeCertificate cmdlet 返回的 Exchange 证书列表中,其中包括分配给每个证书的参数属性。请验证要用于混合部署的第三方受信任证书颁发机构 (CA) 颁发的证书是否具有:

  • Service 属性分配了 IIS 和 SMTP 服务。

  • Status 属性是否列出为“Valid”。

  • RootCAType 属性是否列出为“ThirdParty”。

如果未满足上面列出的三个条件中的任何一个条件,则无法将证书用于“混合配置”向导或用于混合部署。

有疑问吗?请在 Office 365 论坛中寻求帮助。若要访问论坛,您需要使用已拥有对基于云的服务的管理员访问权限的帐户进行登录。请访问以下论坛:Office 365 论坛