本文主要介紹如何在Microsoft Exchange 2010中安裝由權威機構(以下簡稱CA)簽發的證書,如果是自簽名證書 請參考微軟官方自簽名證書文檔,同Web應用服務器一樣,如果是多臺服務器的Exchange需要在每一臺上都安裝 此證書。
一、準備
-
簽發證書 簽發證書也就是經過CA驗證過域名或者企業信息後所簽發的域名證書,例如郵件服務器會使用 smtp.yourdomain.com 作爲郵件發件服務器地址,那麼該證書驗證的域名就是 smtp.yourdomain.com,而 smtps協議只是smtp的一個延伸,在應用層和smtp是一樣的,smtps使用的是465端口。
-
中級證書 一個完整的證書鏈應該由證書 + 中級證書A + 中級證書B + ... +根證書構成,所以通常,由CA簽發的證書壓縮包 中會有1個或者多箇中級證書,另外多家CA的中級證書在官網上有下載,關於合併中級證書請參考:SSL證書鏈不 完整導致瀏覽器不受信任
- 私鑰 私鑰通常是在準備CSR證書請求文件時生成,使用openSSL生成存在CSR文件的同級目錄中 - 生成CSR證書請求文 件 ,使用在線工具會將隨機生成的私鑰+CSR發送到郵箱中,使用IIS生成CSR要求在完成證書請求後提取私鑰 - SSL/TLS多種證書類型的轉換。 此外Exchange也和IIS一樣提供新建證書請求和完成證書請求一樣的功能。
二、安裝步驟
- Exchange管理控制檯中導入證書 開始菜單中打開Exchange 管理控制檯 - 服務器配置 - 導入Exchange證書,選擇簽發的pfx格式證書,或者普通的 x.509格式證書轉換爲pfx證書 - SSL/TLS多種證書類型的轉換,輸入pfx證書密碼,完成導入證書。 注意:本文使用的是合併後的pfx證書, 務 2019/6/14 2/3 2. 服務器配置點擊數據庫管理,選擇服務器配置 - 右鍵點擊導入的證書 - 爲證書分配服務 - 選擇指定的服務(Internet郵件訪問 協議、郵局協議、簡單郵件傳輸協議、Internet信息服務)。 點擊下一步 - 分配 - 如果提示是否覆蓋SMTP就點擊是 - 完成,即可完成證書分配服務。
三、使用Exchange生成CSR請求文件和完成證書安裝
上述建立在既有的pfx證書前提下進行的導入證書並配置服務,而Exchange 2010也和IIS一樣,具備新建證書請求 和 完成證書請求功能。此舉可以代替openSSL和IIS的製作證書過程。
-
新建證書請求 打開 Exchange管理控制檯 - 新建 Exchange 證書 在域範圍頁中,如果希望製作通配符證書可以啓用此項,如果非通配符證書在下一步進行子域名設置,選擇下一 步。
-
填寫CSR證書請求文件信息 和其它CSR製作一樣,設定通用名稱爲一個子域名,例如 smtp.yourdomain.com,然後填寫組織、單位等信息、 郵箱等信息點擊完成,這樣就完成了整個證書請求文件的生成。此時私鑰也一併生成,將此CSR文件填寫到在線生 成CSR輸入框內自助申請數字證書 申請證書。
- 完成證書安裝 CA簽發證書後,在Exchange管理控制檯中點擊完成等待請求,選擇簽發的證書,點擊完成也完成了證書導入工 作。 注意:Exchange 2010有時會提示錯誤信息 The source data is corrupted or not properly Base64 encoded. 通常這是自簽名證書引起,嘗試重新制作CSR。
四、Exchange 命令行管理程序進行安裝
你可以使用Exchange 命令行管理程序進行安裝由CA簽發的證書,具體命令如下:
以上文章由SSL盾小編髮布,【www.ssldun.com】 網站安全之盾