概述
Exchange 2007/2010的客户端访问服务器为用户提供了多种访问方式,如OWA、Outlook Anywhere、Exchange ActiveSync、POP3等,为保证安全性,通常会为这些访问方式启用SSL加密,这就涉及到用于加密证书的配置。本文介绍了如何进行证书申请及配置。
Exchange架构简述
客户端访问服务器在Exchange 2007/2010系统中是一个重要角色,因此通常部署至少两台,配置网络负载均衡群集来实现高可用性,本文就以这样的架构来进行描述。假设域名为company1.com,两台客户端访问服务器分别为cas1和cas2。
证书申请
在Exchange 2007/2010中,绝大多数的客户端访问功能是通过Web方式来实现的,如OWA、Outlook Anywhere、Exchange ActiveSync、自动发现、忙闲信息更新、脱机地址簿等等,这些功能需要访问特定的主机地址,如Autodiscover、客户端访问服务器计算机名,因此除了提供给用户直接访问的域名地址外,还需要在证书中添加额外的域名。
1) 在客户端访问服务器cas1上,运行PowerShell命令生成CAS服务器IIS证书申请:
|
New-ExchangeCertificate -DomainName mail.company1.com, autodiscover.company1.com, cas1.company1.com, cas2.company1.com -GenerateRequest:$True -privatekeyExportable:$true |
注:域名可以填多个,但一般将首选使用的域名放在第一位;
此证书中将包含多个域名地址,供不同功能访问时使用。
2) 复制命令输出文本并保存到文本文件,在服务器上打开IE访问企业根CA的地址(或提交至商业证书颁发机构),申请高级证书,并选择使用BASE #64格式的申请文件来申请,将文本提交到企业根CA申请Web服务器证书,并保存为cer格式;
证书配置
申请下来的证书,需要在所有的客户端访问服务器上导入,并在Exchange系统中启用。
1) 在生成证书申请的客户端访问服务器cas1上使用PowerShell命令导入该证书到IIS网站:
|
Import-ExchangeCertificate -Path D:certnew.cer | Enable-ExchangeCertificate -Services IIS |
该命令将导入刚申请完成的证书,并在Exchange系统中为IIS这个服务启用该证书。
注:导入新证书后一定要将Exchange管理控制台中的Outlook Anywhere 先禁用后再启用,后再重启IIS服务,使Outlook Anywhere功能强制使用新的证书;
2) 在生成证书申请的CAS服务器上打开MMC,导入计算机证书管理器,将刚申请的证书私钥导出,并设置密码;将生成的certnew.pfx文件复制到另一台客户端访问服务器cas2;
3) 在客户端访问服务器cas2上使用PowerShell命令导入该证书:
|
Import-ExchangeCertificate -Path D:certnew.pfx -password:(Get-Credential).password | Enable-ExchangeCertificate -Services IIS |
过程中将会弹出密码输入框,在用户名处输入任意字符,在密码处输入导出证书时设置的密码;
