CA认证服务器
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
完成之后,就可以删除默认有的Microsoft Exchange自签名证书了
此时域里面的所有客户访问OWA据不会再出现安全证书错误的提示了
此时公网的客户端访问邮件服务器OWA,仍然会出现“此网站的安全证书有问题”的警告提醒。具体解决办法,可以参考我昨天发的另一篇博客http://zywqs.blog.51cto.com/1286606/650916。
2、安装证书服务器角色成功之后,我们回到EX01这台邮件服务器上,打开EMC控制台,展开服务器配置,在Exchange标签下面选择“新建Exchange证书”如下图:
输入证书名称
根据需要勾选,一般需要勾选前四项,如下图~
展开是这样的
下一步之后,我们可以根据需要添加需要认证的域名。我们来添加一个邮件服务器的NETBIOS名字试试。
1、受条件所限我的实验是在DC上安装证书服务,实际生产环境,可以根据需要在一台和合适的成员服务器上安装。方法如下:
我在这里遇到一个问题,如下图所示,我实验的时候选的是第一项,不知道另外两项是否可以。如果有了解相关技术的朋友,麻烦请教一下这三项的区别,实际生产环境,我们应该选择哪种模式比较好呢?谢谢~
在Exchange Server 2007中使用多主机名称证书
相信接触过Exchange Server 2007的朋友都清楚很多场景都离不开SSL证书的,这些场景包括:OWA,Outlook Anywhere,Autodiscover的使用和配置.我们通常的做法是通过购买证书或者在环境中搭建CA自行申请证书,并且证书的公共名称跟访问的主机名称一致.相信这种方法已经可以满足很多场景的应用需求,但是有一些特殊场景是满足不了.比如员工在企业内部访问OWA喜欢使用Exchange的主机名称方式,而不是使用对外发布的公网域名.还有一些需要使用Autodiscover功能的企业,Autodiscover也需要配置一张SSL证书,并且Autodiscover的证书公共名称是不可能跟OWA访问使用的证书公共名称一致的.当处于这些场景的时候,用户就可能经常遇到错误证书名称的警告提示,因为通常大家申请证书的做法都是使用IIS来进行申请,这种方法申请下来的证书只有一个公共名称,满足不了前面所述场景的应用.虽然这种错误证书警告提示,我们可以忽略,并且也不会影响邮件的传输.但是这种情况会影响到我们的用户使用体验,可能终端用户会有点怨言.为了能够让用户得到更好的用户体验,更好的实现我们ITpro的价值,现在,我们可以通过使用"Exchange命令行管理程序"来申请多主机名称证书来解决这个问题,废话了一大堆,下面开始详细操作步骤:
粘贴到这个位置
证书模板选择成“WEB服务器”
提交之后即可下载证书
我们将它保存到桌面上,起名字叫certnew吧
下载完毕证书,我们回到EMC控制台,右键点击我们刚刚新建的UHN证书,选择完成搁置请求
在向导中浏览找到桌面上certnew证书导入
导入成功之后,继续在UHN上点击右键选择“为证书分配服务”
如下图,增加勾选SMTP和IIS两个服务。
可以将公网域名mail.uhn.cn设置为公用名称
填写相关信息,并指定证书保存的位置
我们将证书保存到桌面,起名字叫uhncer
按照向导完成后,会在桌面生成一个“uhncer”文件,如下图,我们可以用记事本打开备用。
这时候打开一个IE窗口,连接到证书服务器,选择申请证书。如下图
复制刚才打开备用的记事本里面uhncer正文
6.在下面页面中将证书下载到本地,如下图所示:
本例中将证书下载到D盘的根目录中.
7.返回到"Exchange命令行管理程序"中执行以下命令
上面命令的作用是将刚才申请的证书导入Exchange中并且给这张证书启用"IIS,POP,IMAP"服务.
8.至此,多主机名称的证书已经申请完成,可以通过Get-ExchangeCertificate | fl *来验证一下证书的申请情况,具体如下图:
1.打开"Exchange命令行管理程序",输入以下命令后回车,如下图所示:
其中,-domainname后面为证书的公共名称,可以输入多个公共名称,默认情况下,此cmdlet创建的所有证书请求和证书均不允许导出私钥。您必须了解,如果您无法导出私钥,证书本身无法进行导出和导入。所以建议加上PrivateKeyExportable参数,将此参数设置为$true则允许从生成的证书导出私钥。执行上面命令之后会在C盘根目录生成一个文本文件,呆会我们需要将文本文件中的内容复制出来去申请一张证书.
Server 2008 CA配置
客户端访问OWA的时候,会提示安全证书错误。这是因为默认使用的是一个Exchange2010的自签名证书,如果我们想要客户端正常显示,我们需要在企业内部搭建一个CA认证服务器,并且为Exchange申请一张证书。我的具体的操作方法如下截图,和各位朋友分享交流,如果您发现那些步骤有问题,希望您的指正:
2.使用IE打开CA的证书服务页面,然后选择"申请一个证书",如下图所示:
3.在"选择一个证书类型"页面中选择"高级证书申请",如下图所示:
4.在"高级证书申请Байду номын сангаас页面选择中间一项,如下图所示:
5.打开刚才在C盘根目录下生成的文本文件,复制文本中的内容(注意:首尾两行不需要),然后在紧接的页面中粘贴,证书模板选择"WEB服务器",单击"提交",如下图所示:
此时域里面的所有客户访问OWA据不会再出现安全证书错误的提示了
此时公网的客户端访问邮件服务器OWA,仍然会出现“此网站的安全证书有问题”的警告提醒。具体解决办法,可以参考我昨天发的另一篇博客http://zywqs.blog.51cto.com/1286606/650916。
2、安装证书服务器角色成功之后,我们回到EX01这台邮件服务器上,打开EMC控制台,展开服务器配置,在Exchange标签下面选择“新建Exchange证书”如下图:
输入证书名称
根据需要勾选,一般需要勾选前四项,如下图~
展开是这样的
下一步之后,我们可以根据需要添加需要认证的域名。我们来添加一个邮件服务器的NETBIOS名字试试。
1、受条件所限我的实验是在DC上安装证书服务,实际生产环境,可以根据需要在一台和合适的成员服务器上安装。方法如下:
我在这里遇到一个问题,如下图所示,我实验的时候选的是第一项,不知道另外两项是否可以。如果有了解相关技术的朋友,麻烦请教一下这三项的区别,实际生产环境,我们应该选择哪种模式比较好呢?谢谢~
在Exchange Server 2007中使用多主机名称证书
相信接触过Exchange Server 2007的朋友都清楚很多场景都离不开SSL证书的,这些场景包括:OWA,Outlook Anywhere,Autodiscover的使用和配置.我们通常的做法是通过购买证书或者在环境中搭建CA自行申请证书,并且证书的公共名称跟访问的主机名称一致.相信这种方法已经可以满足很多场景的应用需求,但是有一些特殊场景是满足不了.比如员工在企业内部访问OWA喜欢使用Exchange的主机名称方式,而不是使用对外发布的公网域名.还有一些需要使用Autodiscover功能的企业,Autodiscover也需要配置一张SSL证书,并且Autodiscover的证书公共名称是不可能跟OWA访问使用的证书公共名称一致的.当处于这些场景的时候,用户就可能经常遇到错误证书名称的警告提示,因为通常大家申请证书的做法都是使用IIS来进行申请,这种方法申请下来的证书只有一个公共名称,满足不了前面所述场景的应用.虽然这种错误证书警告提示,我们可以忽略,并且也不会影响邮件的传输.但是这种情况会影响到我们的用户使用体验,可能终端用户会有点怨言.为了能够让用户得到更好的用户体验,更好的实现我们ITpro的价值,现在,我们可以通过使用"Exchange命令行管理程序"来申请多主机名称证书来解决这个问题,废话了一大堆,下面开始详细操作步骤:
粘贴到这个位置
证书模板选择成“WEB服务器”
提交之后即可下载证书
我们将它保存到桌面上,起名字叫certnew吧
下载完毕证书,我们回到EMC控制台,右键点击我们刚刚新建的UHN证书,选择完成搁置请求
在向导中浏览找到桌面上certnew证书导入
导入成功之后,继续在UHN上点击右键选择“为证书分配服务”
如下图,增加勾选SMTP和IIS两个服务。
可以将公网域名mail.uhn.cn设置为公用名称
填写相关信息,并指定证书保存的位置
我们将证书保存到桌面,起名字叫uhncer
按照向导完成后,会在桌面生成一个“uhncer”文件,如下图,我们可以用记事本打开备用。
这时候打开一个IE窗口,连接到证书服务器,选择申请证书。如下图
复制刚才打开备用的记事本里面uhncer正文
6.在下面页面中将证书下载到本地,如下图所示:
本例中将证书下载到D盘的根目录中.
7.返回到"Exchange命令行管理程序"中执行以下命令
上面命令的作用是将刚才申请的证书导入Exchange中并且给这张证书启用"IIS,POP,IMAP"服务.
8.至此,多主机名称的证书已经申请完成,可以通过Get-ExchangeCertificate | fl *来验证一下证书的申请情况,具体如下图:
1.打开"Exchange命令行管理程序",输入以下命令后回车,如下图所示:
其中,-domainname后面为证书的公共名称,可以输入多个公共名称,默认情况下,此cmdlet创建的所有证书请求和证书均不允许导出私钥。您必须了解,如果您无法导出私钥,证书本身无法进行导出和导入。所以建议加上PrivateKeyExportable参数,将此参数设置为$true则允许从生成的证书导出私钥。执行上面命令之后会在C盘根目录生成一个文本文件,呆会我们需要将文本文件中的内容复制出来去申请一张证书.
Server 2008 CA配置
客户端访问OWA的时候,会提示安全证书错误。这是因为默认使用的是一个Exchange2010的自签名证书,如果我们想要客户端正常显示,我们需要在企业内部搭建一个CA认证服务器,并且为Exchange申请一张证书。我的具体的操作方法如下截图,和各位朋友分享交流,如果您发现那些步骤有问题,希望您的指正:
2.使用IE打开CA的证书服务页面,然后选择"申请一个证书",如下图所示:
3.在"选择一个证书类型"页面中选择"高级证书申请",如下图所示:
4.在"高级证书申请Байду номын сангаас页面选择中间一项,如下图所示:
5.打开刚才在C盘根目录下生成的文本文件,复制文本中的内容(注意:首尾两行不需要),然后在紧接的页面中粘贴,证书模板选择"WEB服务器",单击"提交",如下图所示: