Exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有证书,也能安装exchange2010,也能使用owa,但是会有告警出现。

clip_p_w_picpath002

要想消除警告信息,需为Exchange服务器颁发受信任的证书(默认Exchange安装好后会为自己签发一个自签名证书)。要为Exchange颁发证书就要我们在公网CA机构为Exchange申请证书或者在企业内部搭建自己的企业CA为Exchange颁发证书。此处我们采用搭建自己的企业CA来实现,这也是多数企业采用的解决方案。

(一)架设证书服务器

1、服务器管理器---单击角色---右边添加角色---下一步---勾选active directory证书服务

2、点击下一步后,告诉你如果要架设证书服务器,就不能够再修改服务器的名字和域了,

clip_p_w_picpath004

clip_p_w_picpath006

3、默认只有安装证书颁发机构,除此之外,联机响应程序、web注册功也可以安装,web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装,要么需要其他环境支持,都暂时不用安装了。点击下一步。

clip_p_w_picpath008

clip_p_w_picpath010

4、安装类型里面选择企业,CA类型是根CA(R)

clip_p_w_picpath012

clip_p_w_picpath014

5、设置私钥 新建私钥,默认设置,勾选“当CA访问该私钥是,允许管理员交互操作”,点击下一步。

clip_p_w_picpath016

clip_p_w_picpath018

6、配置CA名称,默认,点击下一步。证书有效期,默认5年,点击下一步。数据库位置和日志位置默认,点击下一步

clip_p_w_picpath020

clip_p_w_picpath022

clip_p_w_picpath024

clip_p_w_picpath026

clip_p_w_picpath028

7、确认,安装。告警信息再次提醒部署了CA服务器后就不能修改计算机名称和域了。

clip_p_w_picpath030

8、完成安装

clip_p_w_picpath032

(二)Exchange2010申请证书

1) 以域管理身份登录Exchange服务器。

2)打开Exchange管理控制台,选择“服务器配置---新建exchange证书”。
clip_p_w_picpath034

3) 输入证书名称“mail.contoso.com”,下一步。

clip_p_w_picpath036

4) 不启用“启动通配符证书”,下一步。
clip_p_w_picpath038

5) 选择“客户端访问服务器”的向下双箭头,然后勾选下图选项,然后下一步。
clip_p_w_picpath040

6) 设置公用名称为“mail.contoso.com”(或者默认),然后下一步。

注:如果还有其它外网地址,一定要选择“添加”,将外网地址添加到证书域。

clip_p_w_picpath042

7) 输入组织和位置信息,然后选择证书存放路径为“c:\ca”和名称为“exchange.reg”,下一步。

clip_p_w_picpath044

8) 选择“新建”,新建证书。

clip_p_w_picpath046

9) 等待证书建立完成,然后选择完成。

clip_p_w_picpath048

10) 打开IE,在IE浏览器中地址栏中,输入http://bjrenndc01/certsrv

11) 输入域管理用户名和密码。

clip_p_w_picpath049

12) 选择“申请证书”。

clip_p_w_picpath051

13) 选择“高级申请证书”。

clip_p_w_picpath053

14) 选择“使用base64编码”。

clip_p_w_picpath055

15) 使用记事本打开c:\ca\exchange.req文件,如图将蓝色字体文本复制下来。

clip_p_w_picpath057

16) 将上一步复制的文本,粘贴到base-64编码的证书申请中,证书模板,设置为web服务器,然后提交。

clip_p_w_picpath059

17) 按默认设置,选择“下载证书”。

clip_p_w_picpath061

18) 将证书保存到C:\ca\目录,名称为certnew.cer。

clip_p_w_picpath062

3 证书服务器导入Exchange服务器受信任根证书

1) 以域管理登陆BJRENNEX01服务器

2) 打开IE,在IE浏览器中地址栏中,输入http://bjrenndc01/certsrv。

3) 输入域管理用户名和密码。

clip_p_w_picpath049[1]

4) 选择下载CA证书、证书链或CRL

clip_p_w_picpath064

5) 选择下载CA证书,将证书保存到c:\ca\ca.cer。
clip_p_w_picpath066

clip_p_w_picpath067

6) 在运行中输入“mmc”。

clip_p_w_picpath068

7) 选择“文件”,“添加/删除管理单元”,“证书”然后添加到所选管理单元。

clip_p_w_picpath069

clip_p_w_picpath071

8) 选择“计算机账户”,下一步。

clip_p_w_picpath072

9) 选择“本地计算机(运行此控制台的计算机)”,完成,点击确定
clip_p_w_picpath073

clip_p_w_picpath075

10) 展开“证书(本地计算机)--受信任的根证书颁发机构—证书”,右键单击“证书”,选择“所有任务—导入”。
clip_p_w_picpath077

11) 证书导入向导,下一步。

clip_p_w_picpath078

12) 选择CA证书文件“c:\ca\ca.cer”,下一步。

clip_p_w_picpath079

13) 按默认,下一步。

clip_p_w_picpath080

14) 选择“完成”,并确定。

clip_p_w_picpath081

clip_p_w_picpath082

4 导入Exchange2010证书

1) 以域管理身份登陆BJRENNEX01

2) 打开Exchange管理控制台,选择“服务器配置---Exchange证书”,右键点击“Exchange”证书,选择“完成搁置请求”。

clip_p_w_picpath084

3) 点击“浏览”,选择“c:\ca\mail.contoso.cer”的证书文件,完成。

clip_p_w_picpath086

4) 选择“完成”。

clip_p_w_picpath088

5) 查看证书状态。

clip_p_w_picpath090

5 为服务分配证书

1) 以域管理身份登陆BJRENNEX01

2) 打开Exchange管理控制台,选择“服务器配置---Exchange证书”,右键点击“Exchange”证书,选择“为证书分配服务”。

clip_p_w_picpath092

3) 在“将服务分配到证书”界面,添加当前FENG-EX01服务器(默认情况下已添加),下一步。

clip_p_w_picpath094

4) 在“选择服务”界面,选择需要分配证书的服务,下一步。

clip_p_w_picpath096

5) 选择“分配”。

clip_p_w_picpath098

6) 提示“是否覆盖现有默认的SMTP证书”,选择“全是”。注意:exchange2010安装完成后,会自动生成一个证书,这个提示询问是否覆盖exchange2010自动生成证书。
clip_p_w_picpath100

7) 选择“完成”。

clip_p_w_picpath102

8) 查看为证书分配服务。

clip_p_w_picpath104

9)删除Exchange自签名证书

clip_p_w_picpath106

11)将该证书包含私钥从该CAS节点导出,然后再导入到NLB中的其他CAS节点。

右键单击该证书,选择 导出exchange证书,并设置证书导出路径、名称及密码。

clip_p_w_picpath108

clip_p_w_picpath110

clip_p_w_picpath112

10)在另外一台CAS(BJRENNEX02)上右键点击,选择 导入Exchange证书

clip_p_w_picpath114

11)选择 证书路径并输入私钥密码(证书导出密码),按提示进行操作,步骤同上3-9

clip_p_w_picpath116

clip_p_w_picpath118

clip_p_w_picpath120

clip_p_w_picpath122

clip_p_w_picpath124

clip_p_w_picpath126

clip_p_w_picpath128

clip_p_w_picpath130

clip_p_w_picpath132

clip_p_w_picpath134

clip_p_w_picpath136

12)测试证书是否生效,浏览器输入https://mail.contoso.com/owa,不再提示证书错误。

clip_p_w_picpath138