Exchange2003-2010搬迁系列之十,Exchange证书攻略51CTO博客 - 超凡娱乐

Exchange2003-2010搬迁系列之十,Exchange证书攻略51CTO博客

2019年04月04日15时05分42秒 | 作者: 雪卉 | 标签: 证书,效劳,恳求 | 浏览: 397

Exchange2010证书攻略

         上篇文档中咱们搭建了Exchange2010邮件效劳器的DAG,基本完结了Exchange效劳器一切人物的布置。接下来就要对Exchange的效劳器人物进行各种装备,例如装备接纳衔接器,发送衔接器,OWAOutlook Anywhere等等…..今日要为咱们介绍的是如安在Exchange效劳器上恳求证书以及为证书分配效劳。

         首要介绍证书是因为Exchange2010中的证书要求比Exchange2003更高,并且Exchange许多效劳都需求证书的支撑,因而咱们首要拿证书开场。证书恳求的颁布组织能够运用自己创立的,也能够到商业CA购买。咱们引荐自己创立CA,究竟到商业CA购买一个证书需求8000RMB/年,并且恳求起来远远没有私有CA这么灵敏。

Exchange2010需求运用多域名证书,这是因为当OutlookOWA衔接Exchange效劳器时,需求效劳器出示一个mail.contoso.com的证书;当运用主动发现功用时,需求效劳器出示一个autodiscover.contoso.com的证书;当需求拜访旧的Exchange2003效劳器时,客户端需求Exchange2010效劳器出示一个legacy.contoso.com的证书。Exchange效劳器上只能挂一个证书,这个证书要一起满意这么多的命名需求,就只能运用多域名证书了。多域名证书答应在一个证书上一起绑定多个证书称号,运用起来和通配符证书有些类型,但细究起来很是有别离的。通配符证书一般用于同一域内,例如证书需求多个域名,但每个证书的域名后缀都相同,都是contoso.com,那么这时能够运用通配符证书*.contoso.com,这样更简略一些。假如证书上的多个域名后缀不同,例如证书上一起需求mail.contoso.commail.fabrikam.com,那运用通配符证书就不太便利了,仍是老老实实装备多域名吧。

一、恳求证书

Exchange效劳器上翻开EMC操控台,切换到效劳器节点,点击右侧任务栏中的“新建Exchange证书”。如图1所示,呈现Exchange证书导游。首要要输入证书的友爱称号后,证书的友爱称号只是用于标明证书,能够随意命名。

 

1

 

接下来要挑选是否启用通配符证书,假如证书的后缀都相同,能够运用通配符,例如*.contoso.com,这样更便利一些。假如证书的域名后缀不同,通配符证书就不太适宜了。

 

2

 

         证书导游规划了许多Exchange的运用场景,如图3所示,要求咱们输入证书运用于不同场景时的称号。其实这儿能够不必细心审理,要是嫌费事,直接越过就能够。Why?看下面的就理解了。

 

3

 

         看看图4就理解了,这儿能够直接输入证书称号,比图3要便利得多。一般来说,证书的称号要包括下列几个:1Exchange效劳器的核算机名,本例中是cashub1.congoto.comcashub2.contoso.com2Exchange效劳器CAS阵列的核算机名,本例中是mail.contoso.com3outlook主动发现的保存核算机名,这个称号有必要是autodiscover.contoso.com4是旧版本Exchange的保存称号,本例中是legacy.contoso.com。要注意的是,legacy.contoso.com的域名要解析到旧版本的Exchange2003前端效劳器。这儿要略微解释一下,当旧版本ExchangeExchange2010并存时,要保证用户首要拜访到Exchange2010CAS效劳器。当用户拜访到Exchange2010CAS效劳器后,假如用户拜访的邮箱隶属于Exchange2010CAS效劳器会主动跳转到Exchange2010的邮箱效劳器;假如用户拜访的邮箱隶属于旧的Exchange效劳器,CAS效劳器就会主动跳转到legacy.contoso.com效劳器,由legacy.contoso.com再跳转到旧版本Exchange的邮箱效劳器。因而legacy.contoso.comIP地址必定要对应旧版本Exchange的前端效劳器。

 

4

 

         如图5所示,接下来要填写证书的一些地理信息,这些信息都是无关紧要的。填写完这些信息后,咱们需求把恳求证书填写的这些参数保存到一个文件中,本例中咱们保存到了c:\exchange-cer.req文件中,这个文件咱们接下来要用到。

 

5

 

如图6所示,点击“新建”按钮,证书恳求参数就会写入到指定的文件中。

 

6

 

点击“完结”,完毕证书恳求的第一阶段作业。方才咱们收集了恳求证书的各项参数,接下来要真实开端恳求证书了。

 

7

 

CA效劳器咱们布置在域操控器上,如图8所示,在Exchange效劳器上翻开浏览器,输入http://dcserver/certsrv,挑选“恳求证书”。

 

8

 

如图9,挑选“提交一个高档证书恳求”。

 

9

 

如图10所示,挑选运用Base64编码提交证书恳求。

 

10

 

如图11所示,用记事本翻开c:\exchange-cer.req文件,将文件内容悉数复制到证书恳求框中。证书模板挑选“Web效劳器”,点击“提交”按钮。

 

11

 

如图12所示,恳求的证书现已颁布,点击“下载证书”,按体系提示把证书保存到指定的文件中,这样算是完结了证书恳求的第二阶段作业。

 

12

 

         Exchange效劳器的EMC操控台中右键点击挂起的证书恳求,如图13所示,挑选“完结放置恳求”。

 

13

 

如图14所示,按体系提示,定位到CA效劳器颁布的证书文件,点击“完结”按钮,就能够完毕证书恳求作业了。

 

14

 

如图15所示,第一台Exchange效劳器现已完结了证书恳求作业。

 

15

 

二、证书导出/导入

         第一台Exchange CAS效劳器恳求完证书后,咱们能够把恳求的证书直接导出给第二台CAS效劳器,这样能够防止在第二台CAS效劳器上从头恳求证书。如图20所示,在ExchangeEMC中右键点击第一台CAS效劳器的证书,挑选“导出Exchange证书”。

 

20

 

如图21所示,证书需求导出为pfx格局,pfx格局证书需求输入一个私钥维护暗码,避免被未授权人员容易导入。

 

21

 

第一台CAS效劳器导出证书后,如图22所示,咱们在EMC中右键点击第二台CAS效劳器,挑选“导入Exchange证书”。

 

22

 

导入证书需求输入pfx文件名以及私钥维护暗码。

 

23

 

如图24所示,咱们挑选在第二台CAS效劳器上导入证书。

 

24

 

点击“导入”按钮,开端证书导入作业。

 

25

 

如图26所示,证书导入完结,现在两台CAS效劳器上都现已有证书。因为客户机并不直接拜访邮箱效劳器,因而两台邮箱效劳器就不必恳求证书了。

 

26

 

三、证书分配效劳

         两台CAS效劳器具有证书后,咱们要发挥证书的效果,把证书和Exchange效劳相关起来。一般来说,证书肯定会用在网站效劳,别的,SMTPPOP3IMAP也或许会运用证书。在Exchange效劳器的EMC中右键点击证书,挑选“为证书分配效劳”,如图17所示,挑选要分配效劳的Exchange效劳器,咱们需求把两台CAS效劳器都选中。

 

17

 

如图18所示,咱们为证书分配了POPIISSMTP效劳。这个挑选要视详细的事务需求而定,有或许其他企业还需求分配IMAP或一致音讯效劳。

 

18

 

         如图19所示,导游提示要运用恳求到的证书掩盖SMTP运用的自签名证书,点击“是”赞同掩盖。其实Exchange效劳器装置完结后会装置一个自签名证书,这个证书是Exchange效劳器自己颁布给自己的,因而客户机都不信赖证书,运用起来不便利。因而咱们才需求费点心思为Exchange效劳器手艺恳求证书,本文完毕后,信任咱们对Exchange恳求证书有了必定的知道。下次咱们将为咱们介绍怎么进行Exchange效劳器后续的装备。

 

19

 

 

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表超凡娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章