設定 SSL 憑證以使用多個 Client Access Server 主機名稱
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2012-07-23
您可以使用命令介面設定安全通訊層 (SSL) 憑證,以使用多個主機名稱。
當您部署 Microsoft Exchange Server 2010 Client Access Server 時,必須確定所有的用戶端,例如 Microsoft Office Outlook Web App 和 Office Outlook 2007,皆能夠使用加密的工作階段與服務連線,而不會收到表示憑證不受信任的錯誤訊息。
您可以使用命令介面建立憑證要求,以納入 Client Access Server 的所有 DNS 主機名稱。接著您可讓使用者連接至服務 (例如 Outlook 無所不在、自動探索、POP3 及 IMAP4 或整合通訊,這些全都列於替代名稱屬性中) 的憑證。例如,您的使用者或許可以藉由指定名稱,連接到您的 Exchange 服務,如下列範例所示:
https://CAS01/owa
https://CAS01.FQDN.name/owa
https://CASIntranetName/owa
https://autodiscover.emaildomain.com
您可以使用 SSL 或傳輸層安全性 (TLS) 來建立可讓用戶端順利連接到每個主機名稱的單一憑證,而不必要求多個憑證並針對每個 IP 連接埠與憑證組合維護多個 IP 位址和網際網路資訊服務 (IIS) 網站的設定。
您可以將所有可能的 DNS 名稱值新增至憑證要求中的憑證 Subject Alternative Name 內容,藉以建立單一憑證。Windows 型的憑證服務憑證授權單位應該會針對這類要求建立憑證。
.gif "注意事項") 附註: |
|---|
| 協力廠商或網際網路型的憑證授權單位只會針對授權您使用的 DSN 名稱發出憑證。因此,內部網路的 DNS 名稱可能不會被允許。 |
若要設定 SSL 憑證以使用多個 Client Access Server 主機名稱,請進行下列操作:
使用 New-ExchangeCertificate 指令程式,以建立憑證要求檔案。
將這個檔案傳送至 Windows 憑證服務憑證授權單位,並使用 [憑證授權單位] 頁面上的 Web 伺服器範本。這樣會產生一個可匯入至 Client Access Server 的 .cer 檔案。
使用 Get-ExchangeCertificate 指令程式,判斷憑證的指紋。
當您匯入憑證之後,可以使用 Enable-ExchangeCertificate 指令程式,將其指派給 IIS、IMAP4 及 POP3。
要尋找與 SSL 相關的其他管理工作嗎?請參閱管理 Client Access Server 的 SSL。
必要條件
您已使用非 Administrators 群組的帳戶登入電腦,然後再使用 runas 命令,以系統管理員身分執行 IIS 管理員。這是安全性最佳作法。若要這麼做,請在命令提示字元中,輸入 **runas /user:**Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc"。
您已閱讀過Exchange 2010 中的 TLS 功能及相關術語。這包含許多當您為 SSL 或 TLS 服務設定憑證時所必須考量的變數,以及這些變數如何影響整體組態的相關資訊。
使用命令介面建立憑證要求檔案
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱用戶端存取權限主題中的「用戶端存取伺服器安全性設定」項目。
此範例會建立包含其格式為 PKCS#10 之憑證要求的文字檔。
New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt
使用命令介面匯入憑證
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱用戶端存取權限主題中的「用戶端存取伺服器安全性設定」項目。
此範例會匯入先前取得的憑證。
Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
使用命令介面來判斷您的憑證指紋
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱用戶端存取權限主題中的「用戶端存取伺服器安全性設定」項目。
此範例會判斷與 CAS01 的主機名稱符合的憑證指紋。
Get-ExchangeCertificate -DomainName "CAS01"
| 附註: |
|---|
| 如果有數個憑證符合您所指定的主機名稱,此範例會傳回數個憑證。因此,請確定您會針對要求選取正確憑證的指紋。 |
使用命令介面將憑證指派給 IIS、POP3 及 IMAP4
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱用戶端存取權限主題中的「用戶端存取伺服器安全性設定」項目。
此範例會將憑證指派給 IIS、 POP3 和 IMAP4。
Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
此範例會將憑證指派給伺服器,伺服器會依序將憑證指派給正在 Exchange 伺服器上執行的所有服務。
Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"
如需 Import-ExchangeCertificate、Enable-ExchangeCertificate、Get-ExchangeCertificate 和 New-ExchangeCertificate 指令程式的語法及參數的相關資訊,請參閱全域 Cmdlet。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。