熟悉Exchange的知道, Exchange需要证书支持,exchange安装之后会默认开启ssl,在IE中只能使用https来访问owa。如果没有证书,使用owa时是会有告警提示。

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013

要想取消警告信息,需为Exchange服务器颁发受信任的证书(默认Exchange安装好后会为自己签发一个自签名证书)。要为Exchange颁发证书就需要在企业中的CA服务器为Exchange颁发证书或者在公网CA机构为Exchange申请证书(公网一般采用申请证书后绑定企业域名的方式)。此处我们采用搭建自己的企业CA来实现,这也是多数企业采用的解决方案。

1、安装企业CA

以管理员身份登录DC服务器(此处我们将CA搭建在我们的域控中,生产环境建议独立部署)。

打开服务器管理器---添加角色和功能---Active Directory证书服务

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_02

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_03

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_04

点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_05

选择证书颁发机构、证书颁发机构web注册 ,点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_06

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_07

点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_08

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_09

点击“安装”,完成后点击“关闭”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_10

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_11

2、配置企业CA

在服务器管理器上,选择通知(×××叹号)---配置目标服务器上的Active Directory证书服务

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_12

点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_13

选择 证书颁发机构 和 证书颁发机构web注册,点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_14

选择“企业CA”点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_15

选择“根CA” 点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_16

点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_17

点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_18

点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_19

选择证书默认有效期 ,点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_20

选择证书存放位置,点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_21

选择 配置

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_22

完成后选择“关闭” ,完成证书服务器配置

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_23

3、生成Exchange证书请求文件

在浏览器中输入 https://<mail/cas fqdn>/ECP 打开 EAC,输入用户名和密码

转到“服务器”---“证书”。 在“证书”页面,确保在“选择服务器”字段中选择了客户端访问服务器(这里首先配置cas01),然后单击“ 微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_24

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_25

在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_26

指定此证书的名称,然后单击“下一步”。

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_27

我们不申请通配符证书,保持默认,点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_28

单击“浏览”,指定用于存储证书的 Exchange 服务器。服务器应是面向 Internet 的客户端访问服务器。单击“下一步”。

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_29

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_30

为列表中显示的每个服务指定用户将用来连接到 Exchange 服务器的外部或内部服务器名称。 例如,对于“Outlook Web App (从 Internet 访问)”,您可以指定 mail.contoso.com。 对于“OWA (从 Intranet 访问)”,您可以指定 CAS01.contoso.com。这些域将用于创建 SSL 证书申请。单击“下一步”。

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_31

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_32

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_33

添加要在 SSL 证书中包括的其他客户端访问服务器或者其他域名。并设置默认域名,单击“下一步”。

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_34

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_35

输入相关组织名称、部门名等,点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_36

选择证书保存网络位置和名字,点击“完成”

注意:此路径必须为共享路径,并具有写入权限

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_37

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_38

4、申请Exchange证书

浏览器中打开CA证书http://dc01.contoso.com/certsrv,输入域管理员用户名和密码,选择“申请证书”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_39

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_40

选择“高级证书申请”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_41

选择“使用base64编码的…”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_42

然后使用记事本打开刚才生成的req证书请求文件,并复制内容

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_43

将复制内容粘贴到“Base-64编码的证书申请”中,证书模板选择“Web服务器”,点击“提交 ”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_44

选择“下载证书”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_45

并将证书文件保持到共享路径上

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_46

5、完成Exchange证书

通过浏览到 https://<mail/casfqdn>/ECP 打开 EAC,输入用户名和密码

导航到EAC 的“服务器”---“证书”页面,选择之前步骤中创建的证书申请。在证书申请的详细信息窗格中,单击“状态”下面的“完成”。

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_47

输入申请证书的共享路径,点击“确定”,完成证书申请

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_48

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_49

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_50

选择刚添加的新证书,然后单击“微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_51” 编辑

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_52

切换到“服务”选项卡 ,选择相应服务,点击“保存”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_53

选择“是”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_54

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_55

完成证书分配,并检查当前证书的服务

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_56

6、导出证书为cas02分配 Exchange证书

选择之前步骤中创建的证书。单击“…”,选择“导出Exchange证书”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_57

并设置证书导出网络路径、名称及密码,点击“确定”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_58

检查并确认到处的Exchange证书

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_59

返回EAC控制台,导航 “服务器”---“证书”页面,选择cas02客户端访问服务器,然后单击“…” ,选择“导入Exchange证书”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_60

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_61

选择 证书网络路径并输入私钥密码(证书导出密码),点击“下一步”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_62

点击“微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_63”,指定应用此证书的cas02服务器,点击“完成”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_64

微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_65

完成后选择导入的Exchange证书,点击“ 微软邮件系统Exchange 2013系列(八)配置Exchange证书_微软_66”,来为证书分配服务

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_67

切换到服务选项卡,并选择相应的服务,点击“保存”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_68

选择“是”

微软邮件系统Exchange 2013系列(八)配置Exchange证书_2013_69

完成证书服务分配,并检查当前证书的服务

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_70

7、测试证书是否生效

打开https://<mail/cas fqdn>/owa OWA界面,已经没有提示证书错误了

微软邮件系统Exchange 2013系列(八)配置Exchange证书_邮件_71

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_72

微软邮件系统Exchange 2013系列(八)配置Exchange证书_Exchange_73