New-ExchangeCertificate (RTM)

Exchange 2007
 

適用版本: Exchange Server 2007

上次修改主題的時間: 2007-09-13

使用 New-ExchangeCertificate 指令程式,可以針對傳輸層安全性 (TLS) 及安全通訊端層 (SSL) 服務建立新的自行簽署憑證或新的憑證要求。

important重要事項:
在設定 SSL 及 TLS 服務的憑證時,必須考慮許多變數。您必須了解這些變數對您整個組態的影響。繼續執行之前,請參閱 Exchange 2007 Server 中的憑證使用


New-ExchangeCertificate [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>]


New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>]

New-ExchangeCertificate 指令程式會使用許多 SwitchParameter 類型的參數。如需如何使用此類參數的相關資訊,請參閱參數中的<切換參數>。

若要執行 New-ExchangeCertificate 指令程式,必須對您使用的帳戶委派下列項目:

  • Exchange Server 系統管理員角色和目標伺服器的本機 Administrators 群組

若要在已安裝 Edge Transport server role 的電腦上執行 New-ExchangeCertificate 指令程式,則必須使用該電腦之本機 Administrators 群組成員的帳戶進行登入。

如需管理 Microsoft Exchange Server 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量

 

參數 必要 類型 描述

BinaryEncoded

選用

System.Management.Automation.SwitchParameter

使用此切換參數可指定所匯出檔案的編碼方式。此指令程式預設會建立 Base64 編碼的檔案。

若要建立 DER 編碼的檔案,請將此參數設為 $True

DomainController

選用

System.String

若要指定從 Active Directory 目錄服務擷取資料之網域控制站的網域全名 (FQDN),請在命令中加入 DomainController 參數。執行 Edge Transport server role 的電腦不支援 DomainController 參數。Edge Transport server role 只會寫入至本機 Active Directory 應用程式模式 (ADAM) 執行個體。

DomainName

選用

Microsoft.Exchange.Data.MultiValuedProperty

使用此參數可在產生的憑證要求中,填入一或多個網域名稱 (FQDN) 或伺服器名稱。

網域名稱中只可以使用下列字元;"a-z"、"0-9" 及連字號 ("-")。每個網域名稱的長度不可超出 255 個字元。

若要輸入多個網域或伺服器名稱,則必須用逗號隔開輸入的名稱。

Force

選用

System.Management.Automation.SwitchParameter

使用此切換參數可覆寫符合這個指令程式所指定之相同檔案路徑的現有憑證要求檔案。

依預設,此指令程式不會覆寫現有的檔案。

FriendlyName

選用

System.String

使用此參數可指定所產生憑證的好記名稱。此好記的名稱必須小於 64 個字元。

預設的好記名稱是 "Microsoft Exchange"。

GenerateRequest

選用

System.Management.Automation.SwitchParameter

使用此參數可指定要建立之憑證物件的類型。

此參數預設會在本機電腦憑證存放區中建立自行簽署憑證。

若要在本機要求儲存區中建立 PKI 憑證的憑證要求 (PKCS #10),請將此參數設為 $True

IncludeAcceptedDomains

選用

System.Management.Automation.SwitchParameter

使用此參數可將所有定義的公認網域加入網域名稱欄位中。

您也可以在要求中指定 DomainName 參數。產生的憑證或要求會包含這兩個值的聯集。

IncludeAutoDiscover

選用

System.Management.Automation.SwitchParameter

使用此參數,可以在每個網域名稱前面新增 "autodiscover" 前置詞,以產生最終的憑證。在已安裝 Client Access server role 的 Exchange Server 上執行此指令程式時,可以只指定此參數。附註:如果網域名稱已包含前置詞,則此參數不會新增 "autodiscover" 前置詞。

Instance

選用

System.Security.Cryptography.X509Certificates.X509Certificate2

使用此參數可將整個物件傳遞至要處理的命令。Instance 參數主要是用於必須將整個物件傳遞給命令的指令碼。

KeySize

選用

System.Int32

使用此參數可指定與所建立之憑證關聯的 RSA 公開金鑰大小 (位元)。

可接受的值為 409620481024。預設值為 2048

Path

選用

System.String

使用此參數可指定所產生 PKCS #10 要求檔案的路徑。

只有在 GenerateRequest 設為 $true 時,此參數才有效。

即使指定了 Path 參數,New-ExchangeCertificate 指令程式仍然會在本機憑證存放區中產生憑證要求。本機憑證存放區中產生的憑證要求包含產生之憑證的金鑰。

使用此參數時必須指定要求檔案的名稱,而且名稱的結尾必須為副檔名 .req,例如:

-Path c:\certificates\request.req

憑證授權單位 (CA) 會使用 .req 檔案來產生憑證。

PrivateKeyExportable

選用

System.Boolean

使用此參數可指定所產生的憑證是否會有可匯出的私密金鑰。

此指令程式所建立的所有憑證要求及憑證預設都不允許匯出私密金鑰。

您必須了解如果無法匯出私密金鑰,就無法匯出及匯入憑證本身。

將此參數設為 $true ,可允許從產生的憑證中匯出私密金鑰。

Services

選用

Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices

使用此參數可指定會使用結果憑證的服務。如果將 GenerateRequest 值設為 $true,則無法指定服務。

有效的輸入包括下列項目的組合:

  • IMAP
  • POP
  • UM
  • IIS
  • SMTP
  • None

若要為多個服務建立自行簽署憑證,請用逗號隔開多個值,再用引號括住,例如:

-Services "IMAP, POP, IIS"

若要建立停用的憑證,以便將該憑證匯出至另一部電腦中,請將此參數設為 None

預設是 SMTP

SubjectName

選用

System.Security.Cryptography.X509Certificates.X500DistinguishedName

使用此參數可指定所產生憑證的主旨名稱。

憑證的 [主旨名稱] 是 DNS 感知服務所使用的欄位。[主旨名稱] 欄位會將憑證繫結至特定的伺服器或網域名稱。

主旨名稱是由一或多個相對辨別名稱 (也稱為 RDN) 組成的 X.500 辨別名稱。

依預設,在所產生的憑證中,會將執行指令程式之伺服器的 FQDN 當成 CN。

 

錯誤 描述

 

 

例外狀況 描述

 

第一個範例顯示如何執行不含引數的指令程式。執行不含引數的 New-ExchangeCertificate 指令程式時,會產生 SMTP SSL/TLS 的自行簽署憑證。這個憑證會將本機電腦 FQDN 當成主旨名稱。此內部傳輸的憑證可照原樣用於 Edge Transport Server 與 Hub Transport Server 間的直接信任驗證和加密。Network Services 本機安全性群組也會擁有與憑證關聯之私密金鑰的讀取權。此外,憑證會發行至 Active Directory,以在進行相互 TLS 時,使用 Exchange Server 直接信任來驗證伺服器的真實性。

第二個範例顯示如何執行指令程式來產生憑證要求,並將憑證複製至本機電腦的路徑中。產生的憑證會有下列關聯的屬性:

  • 主旨名稱:c=<ES>,o=<Diversión de Bicicleta>,cn=mail1.DiversiondeBicicleta.com
  • 主旨替代名稱:woodgrove.com 及 example.com
  • 可匯出的私密金鑰

如需相關範例,請參閱 建立 TLS 的憑證或憑證要求 及下列 Exchange Server 小組網誌項目:

如需相關資訊,請參閱網域安全性白皮書 (英文)。

New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true 
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: