exchange 2010 邮件服务器owa证书更新

最新推荐文章于 2022-11-07 10:01:40 发布
最新推荐文章于 2022-11-07 10:01:40 发布
阅读量317 收藏
点赞数
文章标签: 前端 操作系统 ViewUI
原文链接:http://www.cnblogs.com/-windows/p/7742089.html
版权

exchange 2010应用环境

  • 四台前端服务器,两台位于DMZ区,两台位于办公网环境,办公网和DMZ的服务器做了NLB负载均衡,操作系统为windows server 2008 r2.
  • 目前前端https绑定的是企业自颁发的sha1证书,加密套件为系统默认.
  • 默认开启了RC4

  • 使用了非安全的协议SSL_V2.0及SSL_V3.0

    更改需求

  1. 将DMZ区两台服务器IIS证书替换为公网的sha256证书
  2. 关闭RC4
  3. 禁用SSL_V2.0及SSL_V3.0,启用TLS_V1.2,TLS_V1.1,TLS_V1.0(默认已启用)协议

  4. 更新加密套件的优先顺序,配置Forward secrecy

    操作

  • 购买证书
    由于公司有统一人员负责证书事宜,只提供了相关的域名,最终拿到手的是证一个私钥(private.key)及一个cer(20170928.cer)证书文件。需要将cer证书文件转为pfx类型的证书,然后导入服务器-个人区域。
    * 
    openssl.exe pkcs12 -in 20170928.cer -inkey private.key -export -out server.pfx
    
输入两次证书密码,就可以导出证书文件server.pfx

    1260275-20171027113000961-787980051.png
    * 需要安装完整的证书链,否则证书不能正常的使用。
  • 绑定证书
    iis管理器选择刚刚导入的证书,绑定到https

  • 禁用RC4
    将以下代码保存为rc4.reg并导入系统

     Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
    "Enabled"=dword:00000000
  • 禁用ssl,启用tls
    将以下代码保存为ssl.reg并导入系统
    Windows Registry Editor Version 5.00
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    
"DisabledByDefault"=dword:00000001
    
"Enabled"=dword:00000000
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    
"Enabled"=dword:00000000
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    
"Enabled"=dword:00000000
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    
"Enabled"=dword:00000000
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    
"Enabled"=dword:00000001
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    
"Enabled"=dword:00000001
    
"DisabledByDefault"=dword:00000000
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    
"Enabled"=dword:00000001
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    
"Enabled"=dword:00000001
    
"DisabledByDefault"=dword:00000000

  • 更新加密套件
    可以运行gpedit.smc,选择计算机-管理模板-网络-ssl密码套件 启用并将$cipherSuitesOrder的值填入,参数之间用英文状态下的逗号隔开


    
以下为powershell脚本
    
$cipherSuitesOrder = @(
    
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521',
    
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384',
    
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256',
    
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521',
    
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384',
    
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256',
    
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521',
    
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521',
    
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384',
    
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256',
    
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384',
    
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256',
    
'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521',
    
'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256',
    
'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521',
    
'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384',
    
'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521',
    
'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384',
    
'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384',
    
'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256',
    
'TLS_DHE_DSS_WITH_AES_256_CBC_SHA256',
    
'TLS_DHE_DSS_WITH_AES_256_CBC_SHA',
    
'TLS_DHE_DSS_WITH_AES_128_CBC_SHA256',
    
'TLS_DHE_DSS_WITH_AES_128_CBC_SHA',
    
'TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA',
    
'TLS_RSA_WITH_AES_256_CBC_SHA256',
    
'TLS_RSA_WITH_AES_256_CBC_SHA',
    
'TLS_RSA_WITH_AES_128_CBC_SHA256',
    
'TLS_RSA_WITH_AES_128_CBC_SHA',
    
'TLS_RSA_WITH_RC4_128_SHA',
    
'TLS_RSA_WITH_3DES_EDE_CBC_SHA'
    
)
    
$cipherSuitesAsString = [string]::join(',', $cipherSuitesOrder)
    
New-ItemProperty -path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' -name 'Functions' -value $cipherSuitesAsString -PropertyType 'String' -Force | Out-Null

转载于:https://www.cnblogs.com/-windows/p/7742089.html

weixin_34150224
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于Exchange 2010 SP3 使用HTTP打开OWA邮件无法发送的问题
04-28
关于Exchange 2010 SP3 使用HTTP打开OWA邮件无法发送的问题
Exchange Server 2010续定证书系列2-申请续定新证书
weixin_33857230的博客
06-29 104
1、登录证书申请页面,如下图所示,选择“申请证书“2、在下图所示页面中,单击“高级证书申请“按钮;3、在下图所示页面中,单击“使用base64编码……“按钮;4、将系列1中4-6步中申请创建的.req文件中的编码复制到下图中,证书模版使用“web服务器“,单击“提交“按钮;5、在下图所示页面中,单击“下载证书“按钮,并进行保存到本地磁盘。至此,新续定的证书文件就已经生成,在下...
Exchange 2010证书过期问题处理
suzathlan的博客
02-06 5239
故障现象:2010证书过期问题处理" TITLE="Exchange 2010证书过期问题处理" /> 1、outlook客户端登录服务器是提示“代理服务器的安全证书有问题,无法连接到代理服务器(错误代码20)”,如下图 2、从OWA登录时提示证书错误; 3、从服务器证书过期,如下图 2010证书过期问题处理" TITLE="Exchange 2010证书过期问题处理" />
重要Exchange 2010/2013/2016即将启用TLS 1.2
weixin_34279579的博客
11-12 838
随着最近安全问题频发,以及SSL漏洞等安全问题。 微软在2018年1月26日发表了“Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2”文章,告知大家在2018年3月中旬左右更新Exchange补丁中将使用TLS 1.2协议,在此之后Exhange混合环境中本地Exchange...
Exchange server 2010系列教程之六 配置exchange server 2010证书
weixin_33743248的博客
07-14 100
Exchange server 2010系列教程之六 配置exchange server 2010证书 前面说了exchange server 2010安装以及owa的配置事项,很多朋友说证书的安装有问题。看了不少前辈的资料,写的都不够全面。我自己测试了一下,搞了2小时,基本上算成功了。测试环境如下: 1.首先在exchange server上面建立证书服务,使用...
exchange2010证书更新
weixin_34067049的博客
08-15 444
除了更新证书,必须要更新IIS端口绑定 转载于:https://blog.51cto.com/haiwom/1540840
EXCHANGE邮件服务器OWA具体配置方法
10-27
EXCHANGE邮件服务器OWA具体配置方法
exchange2010重建OWA
08-28
owa exchange 虚拟目录重建 exchange2010重建OWA
Exchange2010OWA重定向
02-16
Exchange2010OWA重定向,比较详细,请看内容
Exchange 2010 OWA及anywhere配置
07-31
exchange 2010OWA及anywhere 服務端及Client端的詳細配置
Exchange Delegation Federation 续订证书/在用 STS 设置联盟信任之前,无法更新证书
x_idea的博客
11-07 794
Exchange Delegation Federation 续订证书/在用 STS 设置联盟信任之前,无法更新证书
EXCHANGE 2016证书续期
weixin_55239836的博客
07-28 1578
EXCHANGE 2016证书续期
exchange外网访问和证书配置
weixin_47347190的博客
08-05 1863
外网访问和证书配置 Exchange Server 2013默认部署好后不需要任何配置就可以进行内部收发邮件,但要进行外部访问和收发外网邮件,需要进行一系列的配置,下面的就是部署的步骤 第一步:创建发送连接器: 创建发送器在邮件流中功能中就有,点击发送连接器开始创建就好了,如下图 在填写的过程中的完全限定的域名填写* 直到这一步把这两个后端的邮箱服务器添加到这里 到这里是算是创建好了 第二步:配置外部访问地址 登陆后台管理ECP界面,选择“服务器 —>虚拟目录”,选择每
修改OWA验证方式及分配证书服务
weixin_34061555的博客
04-01 240
大家好,由于最近在做一个项目,所以有几天没有跟大家一起分享关于Exchange的内容了,今天就来给大家讲一个之前与到的故障问题及解决办法,希望能够帮助到大家今后的TroubleShooting。首先,我先还原一下当时的一个场景。有一家公司,目前使用的是Exchange 2013的邮件系统,并且使用的是TMG2010在做邮件发布。最近该公司购买了通配符证书,想再TMG上更...
exchange 2013 证书修改或者二次更换如何分配服务
weixin_34347651的博客
09-02 316
exchange 2013果然不熟悉powshell的人是无法很好的使用好这个版本的。关于exchange 2013如何申请一张证书使用,分为几个步骤:1 生成申请证书文件2 到ca申请证书3 将证书导入exchange 服务器4 分配服务前面的1,2,3这里不做介绍网络上有很多的教程。在日常管理中,可能会由于某些缘故需要临时更换证书做测试。分配服务给证书,在图形化可以通过修...
Exchange 2016 证书配置
Jian Sun_的博客
02-25 5997
刚刚遇到的问题,顺便记录下。 1、当使用“https://Exchange服务期名或IP/ecp”访问时,会出现“此网站的安全证书存在问题”; 2、以管理员身份登录Exchange管理中心,选择“服务器”—“证书”,选择加号添加新证书; 3、在新建Exchange证书窗口,选择“创建从证书颁发机构获取证书的请求”,然后选择“下一步”; 4、给证书起一个友好名...
exchange 2007 申请、更换证书
weixin_34162401的博客
07-16 422
Get-ExchangeCertificate | fl *查看证书,比如都分配了哪些服务,证书的thumbprint等cas更换证书new-exchangecertificate -friendlyname ‘Microsoft Exchange’-generaterequest -privatekeyexportable $true -subjectname "cn=...
配置Exchange 2010 服务器(二)Exchange2010证书配置
weixin_33912453的博客
02-24 157
Exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有证书,也能安装exchange2010,也能使用owa,但是会不断有告警出现。所以,要先架设证书服务器,自己给自己发证书。 为了简化证书操作和管理,应使用多主机名(SAN)证书。 (一)架设证书服务器 1、服务器管理器---单击角色...
MS Exchange 邮件服务器证书错误
zhengyuankey的专栏
11-11 6942
<br /><br />        用网页访问MS Exchange 的邮箱,如果出现提示证书错误,点击查看证书,看看证书错误的原因。是因为根证书颁发中心没有被信任、证书过期、证书颁发的目的使用者和邮件的域名不符合。<br />        如果是根证书颁发中心没有被信任,点击查看根证书,然后点击安装证书,将证书存储到“受信任的根证书颁发机构”,这样子就解决根证书的问题。<br />        如果是证书过期,那么要打开IIS,在ms exchange的网站那里右击属性,目录安全性——
adfs部署exchange
最新发布
08-16
Exchange是由微软开发的邮件服务器软件。如果要部署ADFS以支持Exchange的单点登录和身份验证,需要遵循以下步骤: 1. 确保已经安装并配置了Active Directory域服务和Exchange服务器,确保其正常运行。 2. 在服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值