Exchange日常管理九之创建证书服务器.pdf

ExchangeExchange 日常治理九之：创立证书效劳器日常治理九之：创立证书效劳器在前面的博文中我们和大伙儿介绍了如何实现Exchange 效劳器如何实现高可用的部署，其中包括如何创立 CAS 阵列以及如何创立 DAG 组，那么今天的博文中我们就来和大伙儿介绍一下 Exchange 效劳器中的 CA 证书效劳器。安装安装 ActiveDirectoryActiveDirectory 证书效劳证书效劳首先介绍证书是因为 Exchange 许多效劳都需要证书的支持，证书申请的颁发机构能够使用自己创立的，也能够到商业CA 购置。我推举自己创立CA，毕竟到商业 CA 购置一个证书需要几千甚至上万的人民币，而且申请起来远远没有私有CA 这么灵活。翻开效劳器治理器：点击角色-添加角色：系统弹出添加角色向导，我们直截了当下一步：那个地点我们勾选 ActiveDirectory证书效劳，点击下一步：那个地点系统给我们弹出来证书效劳器的简介，我们能够直截了当点击下一步：在选择角色效劳界面我们勾选证书颁发机构和证书颁发机构Web 注册，然后点击添加所需的角色效劳:能够瞧到我们需要安装的效劳差不多成功勾选，我们直截了当点击下一步即可：那个地点我们选择企业，点击下一步：因为我是第一次安装，因此在此我选择根，然后点击下一步：维持默认，点击下一步：那个地点让我们选择加密算法，因为我是实验环境，因此那个地点我维持默认点击下一步：那个地点安装向导让我们配置CA 名称，在此我维持默认，点击下一步：证书有效期，我们维持默认点击下一步:证书数据库位置，维持默认点击下一步:OK、能够瞧到安装证书效劳时候能够会自动安装Web 效劳器，那个地点我们直截了当下一步即可:维持默认，点击下一步：确认信息无误，点击安装：安装成功，我们点击关闭。OK、到那个地点我们域操纵器上的操作就差不多完成了!申请证书申请证书在 Exchange 效劳器上翻开 Exchange 的治理操纵台 EMC:点击效劳器端配置：我们能够瞧到 Exchange 证书那个选项卡，在选项卡空白处鼠标右键：点击新建 Exchange 证书:系统给我们弹出了新建 Exchange 证书向导，能够瞧到在那个界面系统要求我们输进一个证书的友好名称，那个名词我们能够随意出进它只是一个标记而已，因此在此我输进mail.contoso 点击下一步：那个地点系统咨询我们是否使用通配符。要是我们的证书后缀都相同，能够使用通配符。例如：*.contoso，如此更方便一些。要是证书的域名后缀不同，通配符证书就不太适宜了那个地点我选择不启用通配符，维持默认点击下一步：OK、到这一步可能有许多朋友都不明白，事实上你能够向我如此勾选然后直截了当点击下一步，具体什么缘故我们会在下面做出解释。在这我点击下一步：相信瞧到这张图大伙儿就明白了吧，那个地点能够直截了当输进证书名称，比之前的图要方便的多。一般来讲，证书的名称要包含以下几个：2、是 Exchange 效劳器 CAS 阵列的计算机名，本例中是mail.contoso；3、是 outlook 自动发现的保持计算机名，那个名称必须是autodiscover.contoso；4、是旧版本 Exchange 的保持名称，本例中是 legacy.contoso。要注重的是，legacy.contoso的域名要解析到旧版本的Exchange2003 前端效劳器。那个地点要略微解释一下，当旧版本Exchange 和 Exchange2021并存时，要确保用户首先访咨询到Exchange2021的 CAS 效劳器。当用户访咨询到 Exchange2021 的 CAS 效劳器后，要是用户访咨询的邮箱隶属于Exchange2021，CAS 效劳器会自动跳转到 Exchange2021 的邮箱效劳器；要是用户访咨询的邮箱隶属于旧的 Exchange 效劳器，CAS 效劳器就会自动跳转到 legacy.contoso效劳器，由legacy.contoso 再跳转到旧版本 Exchange 的邮箱效劳器。因此 legacy.contoso 的 IP 地址一定要对应旧版本 Exchange 的前端效劳器。OK、确认没有咨询题，我们点击下一步：这一步上面的内容能够随便填，要害是证书请求文件路径，那个地点我保持到了C:zhengshu.req，确认没咨询题点击下一步：确认我们的证书配置没有咨询题，点击新建:能够瞧到新建完成，我们点击完成：能够瞧到我们的证书选项卡中多了一个名称为mail.contoso 的证书。因为我们差不多在域操纵器上部署了CA 证书效劳器，因此我们在 Exchange 效劳器上翻开扫瞄器输进：讲明:/dcserver/certsrv在那个地点我们输进用户名和密码后点击确定：点击申请证书：那个地点我们要申请一个高级证书，因此点击高级证书申请：那个地点我们选择使用 base64:瞧到那个地点让我们输进一个bash-64 的编码相信许多朋友都蒙了，在那个地点大伙儿不要着急，不明白大伙儿是否还记得前面我们新建了一个保持在c:zhengshu.req的文件，下面我们用记事本翻开那个文件，然后将里面的内容复制到那个地点：能够瞧到我们差不多成功复制过来bash-64编码，下面我们需要将证书模板调为Web效劳器，然后点击提交：能够瞧到证书以及成功颁发，我们点击下载证书：我们将证书保持到指定位置翻开我们 Exchange 的治理操纵台：能够瞧到我们刚刚新建的证书是处于一个挂起的状态，现在我们在其上鼠标右键：点击完成搁置请求:那个地点选择我们刚刚申请的证书的位置，然后点击完成：能够瞧到已完成字样，我们点击完成:证书导出证书导出/倒进倒进第一台 ExchangeCAS 效劳器申请完证书后，我们能够把申请的证书直截了当导出给第二台CAS 效劳器，如此能够防止在第二台CAS 效劳器上重新申请证书的苦恼。在 Exchange 的 EMC 中右键点击第一台 CAS 效劳器的证书:点击导出 Exchange 证书那个地点我们输进文件名称和密码后点击导出 注重此证书为 pfx 格式，因此在文件名称位置需要注重：能够瞧到差不多导出成功，我们点击完成点击完成后鼠标右键我们的第二台CAS/HUB 效劳器 cas-2：选择导进 Exchange 证书：那个地点选择我们刚刚导出的.pxf 格式的证书同时输进我们所设置的密码，点击下一步：确定没有咨询题，点击下一步：点击导进：能够瞧到证书导进完成，现在两台 CAS/HUB 效劳器上都差不多有证书。由于客户机并不直截了当访咨询邮箱效劳器，因此两台邮箱效劳器就不用申请证书了证书分配效劳证书分配效劳两台 CAS/HUB 效劳器拥有证书后，我们要发扬证书的作用，把证书和Exchange 效劳关联起来。在 Exchange 效劳器的 EMC 中右键点击证书选择为证书分配效劳:选择要分配效劳的 Exchange 效劳器，我们需要把两台CAS 效劳器都选中,点击下一步:那个地点我们勾选邮局协议、简单右键传输协议以及IIS，点击下一步：点击分配：向导提示要使用申请到的证书覆盖SMTP 使用的自签名证书，点击“是同意覆盖。事实上 Exchange 效劳器安装完成后会安装一个自签名证书，那个证书是 Exchange 效劳器自己颁发给自己的，因此客户机都不信任证书，使用起来不方便。因此我们才需要费点心思为Exchange 效劳器手工申请证书。测试测试翻开 IE 扫瞄器使用 OWA 方式登陆我们的邮箱：Ok、能够瞧到差不多没有证书错误的提醒了！实验成功。