熟悉Exchange的知道, Exchange需要证书支持,exchange安装之后会默认开启ssl,在IE中只能使用https来访问owa。如果没有证书,使用owa时是会有告警提示。

clip_p_w_picpath002

要想取消警告信息,需为Exchange服务器颁发受信任的证书(默认Exchange安装好后会为自己签发一个自签名证书)。要为Exchange颁发证书就需要在企业中的CA服务器为Exchange颁发证书或者在公网CA机构为Exchange申请证书(公网一般采用申请证书后绑定企业域名的方式)。此处我们采用搭建自己的企业CA来实现,这也是多数企业采用的解决方案。

1、安装企业CA

以管理员身份登录DC服务器(此处我们将CA搭建在我们的域控中,生产环境建议独立部署)。

打开服务器管理器---添加角色和功能---Active Directory证书服务

clip_p_w_picpath004

clip_p_w_picpath006

clip_p_w_picpath008

点击“下一步”

clip_p_w_picpath010

选择证书颁发机构、证书颁发机构web注册 ,点击“下一步”

clip_p_w_picpath012

clip_p_w_picpath014

点击“下一步”

clip_p_w_picpath016

clip_p_w_picpath018

点击“安装”,完成后点击“关闭”

clip_p_w_picpath020

clip_p_w_picpath022

2、配置企业CA

在服务器管理器上,选择通知(×××叹号)---配置目标服务器上的Active Directory证书服务

clip_p_w_picpath024

点击“下一步”

clip_p_w_picpath026

选择 证书颁发机构 和 证书颁发机构web注册,点击“下一步”

clip_p_w_picpath028

选择“企业CA”点击“下一步”

clip_p_w_picpath030

选择“根CA” 点击“下一步”

clip_p_w_picpath032

点击“下一步”

clip_p_w_picpath034

点击“下一步”

clip_p_w_picpath036

点击“下一步”

clip_p_w_picpath038

选择证书默认有效期 ,点击“下一步”

clip_p_w_picpath040

选择证书存放位置,点击“下一步”

clip_p_w_picpath042

选择 配置

clip_p_w_picpath044

完成后选择“关闭” ,完成证书服务器配置

clip_p_w_picpath046

3、生成Exchange证书请求文件

在浏览器中输入 https://<mail/cas fqdn>/ECP 打开 EAC,输入用户名和密码

转到“服务器”---“证书”。 在“证书”页面,确保在“选择服务器”字段中选择了客户端访问服务器(这里首先配置cas01),然后单击“ clip_p_w_picpath047

clip_p_w_picpath049

在“新建 Exchange 证书”向导中,选择“创建从证书颁发机构获取证书的请求”,然后单击“下一步”。

clip_p_w_picpath051

指定此证书的名称,然后单击“下一步”。

clip_p_w_picpath053

我们不申请通配符证书,保持默认,点击“下一步”

clip_p_w_picpath055

单击“浏览”,指定用于存储证书的 Exchange 服务器。服务器应是面向 Internet 的客户端访问服务器。单击“下一步”。

clip_p_w_picpath057

clip_p_w_picpath059

为列表中显示的每个服务指定用户将用来连接到 Exchange 服务器的外部或内部服务器名称。 例如,对于“Outlook Web App (从 Internet 访问)”,您可以指定 mail.contoso.com。 对于“OWA (从 Intranet 访问)”,您可以指定 CAS01.contoso.com。这些域将用于创建 SSL 证书申请。单击“下一步”。

clip_p_w_picpath061

clip_p_w_picpath063

clip_p_w_picpath065

添加要在 SSL 证书中包括的其他客户端访问服务器或者其他域名。并设置默认域名,单击“下一步”。

clip_p_w_picpath067

clip_p_w_picpath069

输入相关组织名称、部门名等,点击“下一步”

clip_p_w_picpath071

选择证书保存网络位置和名字,点击“完成”

注意:此路径必须为共享路径,并具有写入权限

clip_p_w_picpath073

clip_p_w_picpath075

4、申请Exchange证书

浏览器中打开CA证书http://dc01.contoso.com/certsrv,输入域管理员用户名和密码,选择“申请证书”

clip_p_w_picpath077

clip_p_w_picpath079

选择“高级证书申请”

clip_p_w_picpath081

选择“使用base64编码的…”

clip_p_w_picpath083

然后使用记事本打开刚才生成的req证书请求文件,并复制内容

clip_p_w_picpath085

将复制内容粘贴到“Base-64编码的证书申请”中,证书模板选择“Web服务器”,点击“提交 ”

clip_p_w_picpath087

选择“下载证书”

clip_p_w_picpath089

并将证书文件保持到共享路径上

clip_p_w_picpath091

5、完成Exchange证书

通过浏览到 https://<mail/casfqdn>/ECP 打开 EAC,输入用户名和密码

导航到EAC 的“服务器”---“证书”页面,选择之前步骤中创建的证书申请。在证书申请的详细信息窗格中,单击“状态”下面的“完成”。

clip_p_w_picpath093

输入申请证书的共享路径,点击“确定”,完成证书申请

clip_p_w_picpath095

clip_p_w_picpath097

clip_p_w_picpath099

选择刚添加的新证书,然后单击“clip_p_w_picpath100” 编辑

clip_p_w_picpath101

切换到“服务”选项卡 ,选择相应服务,点击“保存”

clip_p_w_picpath103

选择“是”

clip_p_w_picpath105

clip_p_w_picpath107

完成证书分配,并检查当前证书的服务

clip_p_w_picpath109

6、导出证书为cas02分配 Exchange证书

选择之前步骤中创建的证书。单击“…”,选择“导出Exchange证书”

clip_p_w_picpath111

并设置证书导出网络路径、名称及密码,点击“确定”

clip_p_w_picpath113

检查并确认到处的Exchange证书

clip_p_w_picpath115

返回EAC控制台,导航 “服务器”---“证书”页面,选择cas02客户端访问服务器,然后单击“…” ,选择“导入Exchange证书”

clip_p_w_picpath117

clip_p_w_picpath119

选择 证书网络路径并输入私钥密码(证书导出密码),点击“下一步”

clip_p_w_picpath121

点击“clip_p_w_picpath047[1]”,指定应用此证书的cas02服务器,点击“完成”

clip_p_w_picpath123

clip_p_w_picpath125

完成后选择导入的Exchange证书,点击“ clip_p_w_picpath126”,来为证书分配服务

clip_p_w_picpath128

切换到服务选项卡,并选择相应的服务,点击“保存”

clip_p_w_picpath130

选择“是”

clip_p_w_picpath132

完成证书服务分配,并检查当前证书的服务

clip_p_w_picpath134

7、测试证书是否生效

打开https://<mail/cas fqdn>/owa OWA界面,已经没有提示证书错误了

clip_p_w_picpath136

clip_p_w_picpath138

clip_p_w_picpath140