【转】配置Exchange 2010 服务器(二)Exchange2010证书配置

原文链接：http://blog.51cto.com/shubao/788562

（一）架设证书服务器

（二）Exchange2010申请证书

（三）证书服务器导入Exchange服务器受信任根证书

（四）导入Exchange2010证书

（五）为服务分配证书

Exchange2010需要证书支持，exchange2010安装之后会默认开启ssl，在IE中只能使用https：//而不是http://来访问owa。如果没有证书，也能安装exchange2010，也能使用owa，但是会不断有告警出现。所以，要先架设证书服务器，自己给自己发证书。

为了简化证书操作和管理，应使用多主机名（SAN）证书。

（一）架设证书服务器

1、服务器管理器---单击角色---右边添加角色---下一步---勾选active directory证书服务

2、点击下一步后，告诉你如果要架设证书服务器，就不能够再修改服务器的名字和域了，

3、默认只有安装证书颁发机构，除此之外，联机响应程序、web注册功也可以安装，web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装，要么需要其他环境支持，都暂时不用安装了。点击下一步。

4、安装类型里面选择企业，CA类型是根CA（R）

5、设置私钥 新建私钥，默认设置，勾选“当CA访问该私钥是，允许管理员交互操作”，点击下一步。

6、配置CA名称，默认，点击下一步。证书有效期，默认5年，点击下一步。数据库位置和日志位置默认，点击下一步

7、确认，安装。告警信息再次提醒部署了CA服务器后就不能修改计算机名称和域了。

8、完成安装

（二）Exchange2010申请证书

1) 以域管理身份登录FENG-EX01服务器。

2）打开Exchange管理控制台，选择“服务器配置---新建exchange证书”。

3) 输入证书名称“mail.comtoso.com”，下一步。

4) 不启用“启动通配符证书”，下一步。

5) 选择“客户端访问服务器”的向下双箭头，然后勾选下图选项，然后下一步。

6) 设置公用名称为“mail.contoso.com”(或者默认)，然后下一步。

注意：如果启用lync2010，公用名称建议使用“主机.域名”的形式。如果还有其它外网地址，一定要选择“添加”，将外网地址添加到证书域。

7) 输入组织和位置信息，然后选择证书存放路径为“c：\ca”和名称为“exchange.reg”，下一步。

8) 选择“新建”，新建证书。

9) 等待证书建立完成，然后选择完成。

10) 打开IE，在IE浏览器中地址栏中，输入http://bjdc01/certsrv

11) 输入域管理用户名和密码。

12) 选择“申请证书”。

13) 选择“高级申请证书”。

14) 选择“使用base64编码”。

15) 使用记事本打开c:\ca\exchange.req文件，如图将蓝色字体文本复制下来。

16) 将上一步复制的文本，粘贴到base-64编码的证书申请中，证书模板，设置为web服务器，然后提交。

17) 按默认设置，选择“下载证书”。

18) 将证书保存到C：\ca\目录，名称为certnew.cer。

（三） 证书服务器导入Exchange服务器受信任根证书

1) 以域管理登陆BJEX01服务器

2) 打开IE，在IE浏览器中地址栏中，输入http://bjdc01/certsrv。

3) 输入域管理用户名和密码。

4) 选择下载CA证书、证书链或CRL

5) 选择下载CA证书链，将证书保存到c:\ca\ca.cer。

6) 在运行中输入“mmc”。

7) 选择“文件”，“添加/删除管理单元”，“证书”然后添加到所选管理单元。

8) 选择“计算机账户”，下一步。

9) 选择“本地计算机（运行此控制台的计算机）”，完成，点击确定

10) 展开“证书（本地计算机）--受信任的根证书颁发机构—证书”，右键单击“证书”，选择“所有任务—导入”。

11) 证书导入向导，下一步。

12) 选择CA证书文件“c：\ca\certnew.p7b”，下一步。

13) 按默认，下一步。

14) 选择“完成”，并确定。

（四）导入Exchange2010证书

1) 以域管理身份登陆BJEX01

2) 打开Exchange管理控制台，选择“服务器配置---Exchange证书”，右键点击“Exchange”证书，选择“完成搁置请求”。

3) 点击“浏览”，选择“d：\ca\mail.contoso.cer”的证书文件，完成。

4) 选择“完成”。

5) 查看证书状态。

（五）为服务分配证书

1) 以域管理身份登陆BJEX01

2) 打开Exchange管理控制台，选择“服务器配置---Exchange证书”，右键点击“Exchange”证书，选择“为证书分配服务”。

3) 在“将服务分配到证书”界面，添加当前FENG-EX01服务器（默认情况下已添加），下一步。

4) 在“选择服务”界面，选择需要分配证书的服务，下一步。

5) 选择“分配”。

6) 提示“是否覆盖现有默认的SMTP证书”，选择“全是”。注意：exchange2010安装完成后，会自动生成一个证书，这个提示询问是否覆盖exchange2010自动生成证书。

7) 选择“完成”。

8) 查看为证书分配服务。

9)删除Exchange自签名证书

11）将该证书包含私钥从该CAS节点导出，然后再导入到NLB中的其他CAS节点。

右键单击该证书，选择 导出exchange证书，并设置证书导出路径、名称及密码。

10）在另外一台CAS（BJEX02）上右键点击，选择 导入Exchange证书

11）选择 证书路径并输入私钥密码（证书导出密码），按提示进行操作，步骤同上3-9

12）测试证书是否生效，浏览器输入https://mail.contoso.com/owa，不再提示证书错误。