如何設定 SSL 憑證以使用多個 Client Access Server 主機名稱
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2007-10-24
本主題將說明如何使用 Exchange 管理命令介面,將您的安全通訊端層 (SSL) 憑證設定為使用多個主機名稱。
當您部署執行已安裝 Client Access server role 之 Microsoft Exchange Server 2007 的電腦時,必須確定所有的用戶端 (例如 Outlook Web Access 和 Outlook 2007) 都能夠使用加密的工作階段連接至服務,而不會接收到表示憑證未受信任的錯誤訊息。
.gif "note") 附註: |
|---|
| 為了讓 Internet Security and Acceleration (ISA) Server 處理與 Exchange 2007 的 SSL 連線,當您要求要在多部伺服器上使用的憑證,或是要求含有多個主機名稱的憑證時,必須加入憑證本身的主體名稱作為第一個 SAN 項目。 |
您可以使用 Exchange 管理命令介面建立憑證要求,以納入 Client Access Server 的所有 DNS 主機名稱。接著可讓使用者連接至服務 (例如 Outlook 無所不在、自動探索、POP3 及 IMAP4 或整合通訊,這些全都列於替代名稱屬性中) 的憑證。例如,您的使用者或許可以藉由指定名稱,連接到您的 Exchange 服務,如下列範例所示:
- https://CAS01/owa
- https://CAS01.FQDN.name/owa
- https://CASIntranetName/owa
- https://autodiscover.emaildomain.com
您可以使用 SSL 或傳輸層安全性 (TLS) 來建立可讓用戶端順利連接到每個主機名稱的單一憑證,而不必要求多個憑證並針對每個 IP 通訊埠與憑證組合維護多個 IP 位址和網際網路資訊服務 (IIS) 網站的設定。
您可以將所有可能的 DNS 名稱值新增至憑證要求中的憑證 Subject Alternative Name 內容,藉以建立單一憑證。Microsoft Windows 型的憑證服務憑證授權單位應該會針對這類要求建立憑證。
| 附註: |
|---|
| 協力廠商或網際網路型的憑證授權單位只會針對已獲授權的 DSN 名稱發出憑證。因此,可能不允許內部網路 DNS 名稱。 |
若要設定 SSL 憑證以使用多個 Client Access Server 主機名稱,請進行下列操作:
- 使用 New-ExchangeCertificate 指令程式,以建立憑證要求檔案。
- 將這個檔案傳送至 Windows 憑證服務憑證授權單位,並使用 [憑證授權單位] 頁上的 [網頁伺服器] 範本。這樣會產生一個可匯入至 Client Access Server 的 .cer 檔案。
- 使用 Get-ExchangeCertificate 指令程式,判斷憑證的指紋。
- 當您匯入憑證之後,可以使用 Enable-ExchangeCertificate 指令程式,將其指派給 IIS、IMAP4 及 POP3。
開始之前
若要執行下列程序,必須對您使用的帳戶委派 Exchange 僅檢視管理角色。
如需管理 Exchange 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量。
.gif "important") 重要事項: |
|---|
| 在執行下列程序之前,必須先閱讀管理用戶端存取安全性。 |
| 重要事項: |
|---|
| 最佳的安全性作法,是使用非 Administrators 群組的帳戶登入電腦,然後再使用 runas 命令,以系統管理員身分執行 IIS 管理員。在命令提示字元中,輸入 runas /user:Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc"。 |
| 重要事項: |
|---|
| 當您在為 SSL 或 TLS 服務設定憑證時,有許多變數是您必須考慮的。您必須確定了解這些變數對整個設定的影響。在繼續之前,請先閱讀建立 TLS 的憑證或憑證要求。 |
程序
使用 Exchange 管理命令介面建立憑證要求檔案
執行下列命令:
New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt這個命令會建立包含其格式為 PKCS#10 之憑證要求的文字檔。
使用 Exchange 管理命令介面匯入憑證
執行下列命令:
Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
使用 Exchange 管理命令介面,判斷憑證的指紋
若要判斷指紋,請執行下列命令:
Get-ExchangeCertificate -DomainName "CAS01"
| 附註: |
|---|
| 如果有數個憑證符合您所指定的主機名稱,這個命令將會傳回數個憑證。因此,請確定您會針對要求選取正確憑證的指紋。 |
使用 Exchange 管理命令介面,將憑證指派給 IIS、POP3 及 IMAP4
若要將憑證指派給 IIS、POP3 及 IMAP4,請執行下列命令:
Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"或者,若選擇將憑證指派給伺服器,接著會將憑證指派給在 Exchange Server 上執行的所有服務,請執行下列命令:
Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"
如需 Import-ExchangeCertificate、Enable-ExchangeCertificate、Get-ExchangeCertificate 及 New-ExchangeCertificate 指令程式的相關資訊,請參閱Global 指令程式。
相關資訊
如需如何針對 SSL 或 TLS 建立憑證或憑證要求的相關資訊,請參閱建立 TLS 的憑證或憑證要求。
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.