Exchange 日常管理九之：创建证书服务器

Exchange 日常管理九之：创建证书服务器

在前面的博文中我们和大家介绍了如何实现Exchange服务器如何实现高可用的部署，其中包括如何创建CAS阵列以及如何创建DAG组，那么今天的博文中我们就来和大家介绍一下Exchange服务器中的CA证书服务器。

安装Active Directory证书服务

首先介绍证书是因为Exchange很多服务都需要证书的支持，证书申请的颁发机构可以使用自己创建的，也可以到商业CA购买。我推荐自己创建CA，毕竟到商业CA购买一个证书需要几千甚至上万的人民币，而且申请起来远远没有私有CA这么灵活。

打开服务器管理器：

点击角色----添加角色：

系统弹出添加角色向导，我们直接下一步：

这里我们勾选Active Directory证书服务，点击下一步：

这里系统给我们弹出来证书服务器的简介，我们可以直接点击下一步：

在选择角色服务界面我们勾选证书颁发机构和证书颁发机构Web注册，然后点击添加所需的角色服务:

可以看到我们需要安装的服务已经成功勾选，我们直接点击下一步即可：

这里我们选择企业，点击下一步：

因为我是第一次安装，所以在此我选择根，然后点击下一步：

保持默认，点击下一步：

这里让我们选择加密算法，因为我是实验环境，所以这里我保持默认点击下一步：

这里安装向导让我们配置CA名称，在此我保持默认，点击下一步：

证书有效期，我们保持默认点击下一步:

证书数据库位置，保持默认点击下一步:

OK、可以看到安装证书服务时候可以会自动安装Web服务器，这里我们直接下一步即可:

保持默认，点击下一步：

确认信息无误，点击安装：

安装成功，我们点击关闭。

OK、到这里我们域控制器上的操作就已经完成了!

申请证书

在Exchange服务器上打开Exchange的管理控制台EMC:

点击服务器端配置：

我们可以看到Exchange证书这个选项卡，在选项卡空白处鼠标右键：

点击新建Exchange证书:

系统给我们弹出了新建Exchange证书向导，可以看到在这个界面系统要求我们输入一个证书的友好名称，这个名词我们可以随意出入它只是一个标记而已，所以在此我输入mail.contoso.com点击下一步：

这里系统问我们是否使用通配符。如果我们的证书后缀都相同，可以使用通配符。

例如：*.contoso.com，这样更方便一些。如果证书的域名后缀不同，通配符证书就不太合适了

这里我选择不启用通配符，保持默认点击下一步：

OK、到这一步可能有许多朋友都不明白，其实你可以向我这样勾选然后直接点击下一步，具体为什么我们会在 下面做出解释。在这我点击下一步：

相信看到这张图大家就明白了吧，这里可以直接输入证书名称，比之前的图要方便的多。一般来说，证书的名称要包含下列几个：

1、 是Exchange服务器的计算机名，本例中是cas-1.congoto.com和cas-2.contoso.com

2、 是Exchange服务器CAS阵列的计算机名，本例中是mail.contoso.com；

3、 是outlook自动发现的保留计算机名，这个名称必须是autodiscover.contoso.com；

4、 是旧版本Exchange的保留名称，本例中是legacy.contoso.com。要注意的是，legacy.contoso.com的域名要解析到旧版本的Exchange2003前端服务器。这里要稍微解释一下，当旧版本Exchange和Exchange2010并存时，要确保用户首先访问到Exchange2010的CAS服务器。当用户访问到Exchange2010的CAS服务器后，如果用户访问的邮箱隶属于Exchange2010，CAS服务器会自动跳转到Exchange2010的邮箱服务器；如果用户访问的邮箱隶属于旧的Exchange服务器，CAS服务器就会自动跳转到legacy.contoso.com服务器，由legacy.contoso.com再跳转到旧版本Exchange的邮箱服务器。因此legacy.contoso.com的IP地址一定要对应旧版本Exchange的前端服务器。

OK、确认没有问题，我们点击下一步：

这一步上面的内容可以随便填，关键是证书请求文件路径，这里我保存到了C:\zhengshu.req，确认没问题点击下一步：

确认我们的证书配置没有问题，点击新建:

可以看到新建完成，我们点击完成：

可以看到我们的证书选项卡中多了一个名称为mail.contoso.com的证书。

因为我们已经在域控制器上部署了CA证书服务器，所以我们在Exchange服务器上打开浏览器输入：http://contoso.com/certsrv

说明: http://dcserver/certsrv这里的deserver是指我们的域名，因为我使用的域名是contoso.com所以在上面我输入的是http://contoso.com/certsrv

在这里我们输入用户名和密码后点击确定：

点击申请证书：

这里我们要申请一个高级证书，所以点击高级证书申请：

这里我们选择使用base64:

看到这里让我们输入一个bash-64的编码相信许多朋友都蒙了，在这里大家不要着急，不知道大家是否还记得前面我们新建了一个保存在c:\zhengshu.req的文件，下面我们用记事本打开这个文件，然后将里面的内容复制到这里：

可以看到我们已经成功复制过来bash-64编码，下面我们需要将证书模板调为Web服务器，然后点击提交：

可以看到证书以及成功颁发，我们点击下载证书：

我们将证书保存到指定位置

打开我们Exchange的管理控制台：

可以看到我们刚刚新建的证书是处于一个挂起的状态，现在我们在其上鼠标右键：

点击完成搁置请求:

这里选择我们刚刚申请的证书的位置，然后点击完成：

可以看到已完成字样，我们点击完成:

可以看到我们名称为mail.contoso.com这个域名已经是有效的状态了

证书导出/倒入

第一台Exchange CAS服务器申请完证书后，我们可以把申请的证书直接导出给第二台CAS服务器，这样可以避免在第二台CAS服务器上重新申请证书的麻烦。

在Exchange的EMC中右键点击第一台CAS服务器的证书:

点击导出Exchange证书

这里我们输入文件名称和密码后点击导出（注意此证书为pfx格式，所以在文件名称位置需要注意）：

可以看到已经导出成功，我们点击完成

点击完成后鼠标右键我们的第二台CAS/HUB服务器cas-2：

选择导入Exchange证书：

这里选择我们刚刚导出的.pxf格式的证书并且输入我们所设置的密码，点击下一步：

确定没有问题，点击下一步：

点击导入：

可以看到证书导入完成，现在两台CAS/HUB服务器上都已经有证书。由于客户机并不直接访问邮箱服务器，因此两台邮箱服务器就不用申请证书了

证书分配服务

两台CAS/HUB服务器拥有证书后，我们要发挥证书的作用，把证书和Exchange服务关联起来。在Exchange服务器的EMC中右键点击证书

选择为证书分配服务:

选择要分配服务的Exchange服务器，我们需要把两台CAS服务器都选中,点击下一步:

这里我们勾选邮局协议、简单右键传输协议以及IIS，点击下一步：

点击分配：

向导提示要使用申请到的证书覆盖SMTP使用的自签名证书，点击“是”同意覆盖。

其实Exchange服务器安装完成后会安装一个自签名证书，这个证书是Exchange服务器自己颁发给自己的，因此客户机都不信任证书，使用起来不方便。因此我们才需要费点心思为Exchange服务器手工申请证书。

测试

打开IE浏览器使用OWA方式登陆我们的邮箱：

Ok、可以看到已经没有证书错误的提醒了！

实验成功。

本文转自wuyvzhang 51CTO博客，原文链接：http://blog.51cto.com/wuyvzhang/1665310，如需转载请自行联系原作者