安装集线器传输服务器、统一消息服务器、客户端访问服务器、边缘传输服务器是都安装了自签名证书,但默认安装好的自签名证书的颁发机构是不受信任的,因此必须将自签名证书的证书颁发机构添加到客户端的受信任证书颁发机构位置中,这里通过组策略来将颁发机构配置到域中的计算机上。

查看各服务器证书

自签名证书都是不受信任的;

clip_p_w_picpath002

clip_p_w_picpath004

clip_p_w_picpath006

clip_p_w_picpath008

首先,将这些服务器的自签名证书导出来;

在证书中详细信息中,选择复制到文件

clip_p_w_picpath010

进入证书导出向导

下一步

clip_p_w_picpath012

是否导出私钥,选择 不,不导出私钥

下一步

clip_p_w_picpath014

选择导出格式,默认DER编码二进制X.509

下一步

clip_p_w_picpath016

指定导出文件名

下一步

clip_p_w_picpath018

选择 完成

导出成功

clip_p_w_picpath020

用同样的方法将其他服务器的自签名证书也导出来;

导出证书后;

再来创建一个域策略,在AD用户和计算机的域属性中的组策略项;

新建一条组策略,命名:Exchange自签名证书,命名最好是能表明该条策略的用途,方便识别;

clip_p_w_picpath022

新建策略后,再来配置策略,这里只要配置受信任的证书颁发机构,依次展开到计算机配置—Windows设置—公钥策略—受信任的证书颁发机构里;再将导出来的自签名证书导入到这个位置;

clip_p_w_picpath024

右键,选择导入;

进入导入向导

下一步

clip_p_w_picpath026

指定要导入的文件

下一步

clip_p_w_picpath028

选择证书存储位置

下一步

clip_p_w_picpath030

选择 完成

clip_p_w_picpath032

导入成功

clip_p_w_picpath034

用同样方式将其他自签名证书也导入到受信任的证书颁发机构;

clip_p_w_picpath036

配置好组策略后;

在重启所有Exchange服务器,当然边缘传输服务器除外,因为它不是域成员,当然组策略也不会被应用到边缘传输服务器上,这里要单独为边缘传输服务器将自签名证书导入到受信任的证书颁发机构位置中,这里要说明,边缘服务器的自签名证书是用于加密与集线器传输服务器的SMTP会话,以及为ADAM与AD的LDAP会话进行加密,其LDAP会话是以集线器传输服务器作为中介的,因为边缘传输服务器本身是无法联系到域控制器的;因此在边缘服务器上只要到导入所有属于该站点的集线器服务器的自签名证书,和本身的自签名证书即可。

clip_p_w_picpath038

完成所有操作后;

再来查看证书

在内部计算机上:

证书已是受信任的;

clip_p_w_picpath040

在受信任的证书颁发机构位置也可以看到这些Exchange服务器得自签名证书

clip_p_w_picpath042

clip_p_w_picpath044

clip_p_w_picpath046

在边缘传输服务器上:

证书已受信任

clip_p_w_picpath048

同样在受信任的证书颁发机构位置也添加了边缘和集线器传输服务器的自签名证书

clip_p_w_picpath050