由于Exchange安装后,默认使用的是自签名证书,SSL无法正常使用。最明显一个现象就是访问https://mail.yourdomain.com/owa时提示证书错误,这样会给用户带来很不要的体验。本文一步一步来完成Exchange服务器证书的生产、导入,并使用多主机名,这样访问https的OWA就不会提示证书错误啦~~~
环境:
域:zhengda.corp
客户端访问服务器(已加入上述域)FQDN:exg07.zhengda.corp
该服务器外部访问域名:mail.zhengda.me
一、生成申请Exchange证书的密文。
在Exchange服务器上
运行“Exchange 命令行管理程序”
输入以下语句:
New-ExchangeCertificate -GenerateRequest -Path c:mail_zhengda_me.csr -KeySize 2048 -SubjectName "c=CN, s=ShangHai, l=ShangHai, o=ShangHai, ou=IT, cn=mail.zhengda.me" -DomainName exg07.zhengda.corp, exg07, autodiscover.zhengda.me, mail.zhengda.me -PrivateKeyExportable $True
(红色标注的是主机名,微软建议把Exchange服务器的NetBios、FQDN和autodiscover.yourdomian.com都放到主机名那里,否则访问https时会提示证书错误或者SSL加密无法正常使用)
(蓝色标注的按需修改)
运行上述语句后,会在C盘根目录下生成mail_zhengda_me.csr这个文件,使用记事本打开,可以看到一大串东东,这就是生成证书需要的密文。(不包含上下两个提示语句) 
二、访问CA,导出证书。
(网址一般是 http://ca的机器名/certsrv)
点击申请证书 
点击高级证书申请 
点击如图选项 
粘贴密文到下列文本框,并选中“WEB服务器” 
如下图 
保存证书 
证书信息 
三、导入Exchange证书
在Exchange服务器上
运行“Exchange 命令行管理程序”
输入以下语句:
Import-ExchangeCertificate -path c:certnew.cer | enable-exchangecertificate -services "IIS,POP,IMAP"
查看IIS的服务器证书,证书已分配,如下图:
查看IMAP4证书信息,证书已分配,如下图:
查看POP3的证书信息,证书已分配,如下图:
