設定 Exchange 2016 憑證

 

預估完成時間:10 到 15 分鐘 (不包括憑證授權單位的回應時間)

部分服務 (例如 Outlook Anywhere 及 Exchange ActiveSync) 會要求在您的 Exchange 2016 伺服器上設定憑證。您可以選擇是要重複使用預先存在 Exchange 伺服器上已安裝的 SSL 憑證,或是向協力廠商憑證授權單位 (CA) 購買新的 SSL 憑證。如果您決定重複使用憑證,則您在 Exchange 2016 虛擬目錄上設定的主機名稱必須符合 SSL 憑證上設定的主機名稱。

如何取得及安裝協力廠商 SSL 憑證?

  1. 瀏覽至信箱伺服器的 URL 以開啟 EAC。例如,https://Ex2016/ECP。

  2. [網域\使用者名稱][密碼] 中輸入您的使用者名稱和密碼,然後按一下 [登入]

  3. 前往 [伺服器] >[憑證]。在 [憑證] 頁面上,確定已在 [選取伺服器] 欄位中選取信箱伺服器,然後按一下 [新增] 加入圖示

  4. 在 [新 Exchange 憑證] 精靈中,選取 [建立從憑證授權請求憑證],然後按 [下一步]。

  5. 指定此憑證的名稱,然後按 [下一步]。

  6. 如果您想請求多子網域通用憑證,選取 [請求多子網域通用憑證],然後在 [根網域] 欄位內,指定所有子網域之根網域。如果您不想請求多子網域通用憑證,而是要指定您想新增憑證的每個網域,本頁請保留空白不填。按 [下一步]。

  7. 按一下 [瀏覽],並指定一個 Exchange 伺服器來儲存憑證。您選擇的伺服器應為網際網路對向信箱伺服器。按 [下一步]。

  8. 針對下列清單中的每一項服務,驗證使用者將用來連線至 Exchange 伺服器的外部或內部伺服器名稱正確無誤。例如:

    • 若您將內部 URL 設定為 internal.contoso.com,則 [Outlook Web App (從網際網路存取時)] 應會顯示 owa.contoso.com,而 [Outlook Web App (從內部網路存取時)] 應會顯示 internal.contoso.com。

    • 若您將內部 URL 設定為 internal.contoso.com,則 [Outlook Web App (從網際網路存取時)] 應會顯示 owa.contoso.com,而 [Outlook Web App (從內部網路存取時)] 應會顯示 internal.contoso.com。

    這些網域將用於建立 SSL 憑證請求。按 [下一步]

  9. 新增您想要包含在 SSL 憑證內的任何額外網域。

  10. 選取您要作為憑證一般名稱的網域 (例如:contoso.com),然後按一下 [設為一般名稱]。按 [下一步]。

  11. 提供您的組織相關資訊。此資訊將包含在 SSL 憑證內。按 [下一步]

  12. 指定您希望儲存此項憑證請求的網路位置。按一下 [完成]

儲存憑證請求之後,向您的 CA 提出請求。這可能是內部憑證管理中心或第三方憑證管理中心,端視您的組織而定。連結到信箱伺服器的用戶必須相信您使用之憑證管理中心。從 CA 取得憑證後,請完成下列步驟:

  1. 在憑證請求資料窗格中,在 [狀態] 下按一下 [完成]

  2. 在憑證請求資料窗格中,在 [狀態] 下按一下 [完成]。

  3. 在 [完成擱置的要求] 頁面上,指定 SSL 憑證的檔案路徑,然後按一下 [確定]。

  4. 選取您剛新增的新憑證,然後按一下 [編輯]編輯圖示

  5. 在憑證頁面按一下 [服務]。

  6. 選取您想要指派給這項憑證之服務。您至少應該選取 [IIS],但您也可以選取 [IMAP]、[POP] 及 [UM call router] (如果使用這些服務的話)。如果要使用安全傳輸,您也可以選取 [SMTP],讓 Exchange 2016 傳輸可以使用此憑證。按一下 [儲存]。

  7. 若您收到 [是否覆寫現有的預設 SMTP 憑證?] 警告,請按一下 [是]

我要如何重複使用預先存在 Exchange SSL 憑證?

首先,您必須依照下列步驟從預先存在 Exchange 伺服器匯出憑證與憑證的私密金鑰:

  1. 使用系統管理員使用者帳戶直接登入預先存在 Exchange Client Access Server。

  2. 開啟空的 Microsoft Management Console (MMC)。

  3. 按一下 [檔案],再按 [新增/移除嵌入式管理單元]

  4. 在 [新增/移除嵌入式管理單元] 視窗中,選取 [憑證],然後按一下 [新增]。

  5. 在顯示的 [憑證嵌入式管理單元] 視窗中,選取 [電腦帳戶],然後按 [下一步]。

  6. 選取 [本機電腦],然後按一下 [完成]。然後按一下 [確定]

  7. [主控台根目錄] 下,依序展開 [憑證 (本機電腦)][個人][憑證]

  8. 選取 Exchange 所用的協力廠商憑證,此憑證必須符合您在 Exchange 2016 伺服器上設定的主機名稱。這必須是協力廠商憑證,而非自我簽署憑證。

  9. 在此憑證上按一下滑鼠右鍵,選取 [所有工作],然後按一下 [匯出]。

  10. 在 [憑證匯出精靈] 中,按 [下一步]。

  11. 選取 [是,匯出私密金鑰],再按 [下一步]。

    重要

    您必須能夠從 Exchange 伺服器匯出憑證與憑證的私密金鑰。如果您無法存取憑證的私密金鑰,則您將無法在 Exchange 2016 伺服器上使用憑證。您必須使用在「如何取得及安裝協力廠商 SSL 憑證?」中的步驟,為 Exchange 2016 伺服器取得憑證。

  12. 確定已選取 [個人資訊交換 - PKCS #12 (.PFX)][如果可能的話,包含憑證路徑中的所有憑證]。確定未選取其他選項。按 [下一步]

  13. 選取 [密碼],然後輸入用來保護憑證的密碼。按 [下一步]

  14. 指定新憑證的檔案名稱。使用副檔名 .pfx。按 [下一步],然後按一下 [完成]

  15. 如果憑證匯出成功,您會收到確認提示。按一下 [確定] 加以關閉。

  16. 複製您要建立到網際網路對向 Exchange 2016 信箱伺服器的 .pfx 檔案。

從預先存在 Exchange 伺服器匯出憑證之後,您必須依照下列步驟在 Exchange 2016 伺服器上匯入此憑證:

  1. 使用系統管理員使用者帳戶登入您的網際網路對向 Exchange 2016 信箱伺服器。

  2. 開啟空白的 MMC。

  3. 按一下 [檔案],再按 [新增/移除嵌入式管理單元]

  4. 在 [新增/移除嵌入式管理單元] 視窗中,選取 [憑證],然後按一下 [新增]。

  5. 在顯示的 [憑證嵌入式管理單元] 視窗中,選取 [電腦帳戶],然後按 [下一步]。

  6. 選取 [本機電腦],然後按一下 [完成]。然後按一下 [確定]

  7. [主控台根目錄] 下,依序展開 [憑證 (本機電腦)][個人]

  8. 在 [個人] 上按一下滑鼠右鍵,選取 [所有工作] 然後按一下 [匯入]。

  9. [憑證匯入精靈] 中,按 [下一步]

  10. 按一下 [瀏覽],然後選取您複製到 Exchange 2016 郵件伺服器的 .pfx 檔案。按一下 [開啟],然後再按 [下一步]。

    注意事項注意事項:
    您可能必須將 [開啟] 視窗中的 [檔案名稱] 篩選器變更為 [所有檔案 (*.*)],才能看見 .pfx 檔案。
  11. 在 [密碼] 欄位中,輸入您在預先存在 Exchange 伺服器上匯出憑證時所設定用來保護憑證的密碼。

  12. 確認已選取 [包含所有延伸內容],然後按 [下一步]。

  13. 確認已選取 [將所有憑證放入以下的存放區] 而且 [憑證存放區] 中顯示了 [個人]。按 [下一步] 然後按一下 [完成]。

  14. 如果憑證匯入成功,您會收到確認提示。按一下 [確定] 加以關閉。

剛已在 Exchange 2016 郵件伺服器上匯入新憑證,現在您必須依照下列步驟將其指派給 Exchange 服務:

  1. 瀏覽至 Exchange 2016 信箱伺服器的 URL 以開啟 EAC。例如,https://Ex2016/ECP。

  2. [網域\使用者名稱][密碼] 中輸入您的使用者名稱和密碼,然後按一下 [登入]

  3. 在 EAC 的 [伺服器] > [憑證] 頁面中,選取您剛剛加入的新憑證,然後按一下 [編輯] 編輯圖示

  4. 在憑證頁面按一下 [服務]

  5. 選取您想要指派給這項憑證之服務。您至少應該選取 [IIS],但您也可以選取 [IMAP]、[POP] 及 [UM call router] (如果使用這些服務的話)。如果要使用安全傳輸,您也可以選取 [SMTP],讓 Exchange 2016 傳輸可以使用此憑證。按一下 [儲存]。

  6. 若您收到 [是否覆寫現有的預設 SMTP 憑證?] 警告,請按一下 [是]

如何才能了解這是否正常運作?

若要確認您是否成功新增新憑證,執行下列操作:

  1. 選取新憑證,然後在憑證資料窗格中,驗證已下是否屬實:

  2. [狀態]顯示為 [有效]

    • [狀態] 顯示為 [有效]。

    • [指派給服務] 至少會顯示 [IIS] 和選擇性的 [IMAP][POP][UM call router][SMTP]

有問題嗎?在 Exchange 論壇中尋求協助。此論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection