Exchange邮件系统中不仅Outlook Anywhere和Exchange ActiveSync,要求在服务器上配置证书,而且没有配置证书时访问OWA等都会有安全警告。

 

证书企业一般可以购买公网证书,这样在没有加入域的计算机不导入AD的root证书,也可以正常使用。购买公网证书一般需要按年付费,当然,不购买公网证书我们也可以内网自己来颁布内网证书。

 

如果购买了公网证书,一般带有私钥的证书为pfx格式。

clip_p_w_picpath001

我们选择导入证书

clip_p_w_picpath003

输入证书路径及密码

clip_p_w_picpath004

选择导入服务器,当然两台邮件服务器我们都选择

clip_p_w_picpath006

最后导入成功,公网证书一般都不显示友好名称,这里空的就是啦

clip_p_w_picpath008

我们点开属性,可以看到证书详细情况

clip_p_w_picpath010

选择服务页面来指定分配证书的服务

clip_p_w_picpath011

 

1. 申请公网证书

一般可以去各商业网站去购买公网证书。如果想自己的实验环境,或者要求不高的环境下,可以到以下地址来申请免费的多域名证书。

http://freessl.wosign.com/freessl

clip_p_w_picpath013

证书申请时,对邮箱来说mail和autodiscover前缀是必须的,最好还加上每台邮箱服务器的FQDN域名。

clip_p_w_picpath015

申请后可以从验证邮箱取回证书

clip_p_w_picpath016

输入证书保护密码

clip_p_w_picpath017

最后取回证书

clip_p_w_picpath018

clip_p_w_picpath019

 

2. 制作内网证书

我们也可以自己制作内网证书

首先需要安装证书服务,一般可以到DC上安装

clip_p_w_picpath021

选择服务

clip_p_w_picpath023

确认

clip_p_w_picpath025

证书服务安装完毕后,进行配置

clip_p_w_picpath027

制定CA类型

clip_p_w_picpath029

根CA

clip_p_w_picpath031

创建新私钥

clip_p_w_picpath033

制定加密方式

clip_p_w_picpath035

定义CA名称

clip_p_w_picpath037

定义证书有效时间

clip_p_w_picpath039

指定路径

clip_p_w_picpath041

确认无误后进行配置

clip_p_w_picpath043

 

证书服务安装完毕后,我们可以到Exchange中申请证书

clip_p_w_picpath045

定义证书友好名称

clip_p_w_picpath047

我们使用多域名证书,不适用通配符证书

clip_p_w_picpath049

选择证书存储服务器

clip_p_w_picpath051

新建证书

clip_p_w_picpath053

这里我们顺便把几台邮件服务器都加上

clip_p_w_picpath055

输入证书信息

clip_p_w_picpath057

定义证书申请存放路径

clip_p_w_picpath059

 

现在我们打开证书申请网页,选择申请证书

clip_p_w_picpath061

如下选择

clip_p_w_picpath063

最后输入申请编码,模板选择WEB服务器

clip_p_w_picpath065

最后可以下载证书

clip_p_w_picpath066

回到ECP证书页面

clip_p_w_picpath068

下载完毕后,我们完成之前的证书搁置请求

clip_p_w_picpath070

如果域策略还没更新,会显示证书无效,可以稍等段时间

clip_p_w_picpath072

或者直接刷新组策略

clip_p_w_picpath073

最后分配邮箱服务

clip_p_w_picpath075

可以确认状态及分配的服务

clip_p_w_picpath077

接下来导出这个证书,给其他服务器使用

clip_p_w_picpath078

导入后再次导入

clip_p_w_picpath080

选择之前没有导入证书的服务器

clip_p_w_picpath081

导入后再次指定证书使用的服务,这样内网证书就配置完毕了。