如何在Exchange 2010安装证书

时间 2019-11-10

标签如何 exchange 安装证书繁體版

原文原文链接

原文阅读：https://www.infinisign.com/fa...shell

本文主要介绍如何在Microsoft Exchange 2010中安装由权威机构(如下简称CA)签发的证书，若是是自签名证书请参考微软官方自签名证书文档，同Web应用服务器同样，若是是多台服务器的Exchange须要在每一台上都安装此证书。数据库

1、准备

1. 签发证书

签发证书也就是通过CA验证过域名或者企业信息后所签发的域名证书，例如邮件服务器会使用 smtp.yourdomain.com 做为邮件发件服务器地址，那么该证书验证的域名就是 smtp.yourdomain.com，而smtps协议只是smtp的一个延伸，在应用层和smtp是同样的，smtps使用的是465端口。浏览器

2. 中级证书

一个完整的证书链应该由证书 + 中级证书A + 中级证书B + ... +根证书构成，因此一般，由CA签发的证书压缩包中会有1个或者多个中级证书，另外多家CA的中级证书在官网上有下载，关于合并中级证书请参考：SSL证书链不完整致使浏览器不受信任服务器

3. 私钥

私钥一般是在准备CSR证书请求文件时生成，使用openSSL生成存在CSR文件的同级目录中 - 生成CSR证书请求文件，使用在线工具会将随机生成的私钥+CSR发送到邮箱中，使用IIS生成CSR要求在完成证书请求后提取私钥 - SSL/TLS多种证书类型的转换。dom

此外Exchange也和IIS同样提供新建证书请求和完成证书请求同样的功能。工具

2、安装步骤

1. Exchange管理控制台中导入证书

开始菜单中打开Exchange 管理控制台 - 服务器配置 - 导入Exchange证书，选择签发的pfx格式证书，或者普通的x.509格式证书转换为pfx证书 - SSL/TLS多种证书类型的转换，输入pfx证书密码，完成导入证书。spa

注意：本文使用的是合并后的pfx证书，命令行

2. 服务器配置

点击数据库管理，选择服务器配置 - 右键点击导入的证书 - 为证书分配服务 - 选择指定的服务（Internet邮件访问协议、邮局协议、简单邮件传输协议、Internet信息服务）。code

点击下一步 - 分配 - 若是提示是否覆盖SMTP就点击是 - 完成，便可完成证书分配服务。ssl

3、使用Exchange生成CSR请求文件和完成证书安装

上述创建在既有的pfx证书前提下进行的导入证书并配置服务，而Exchange 2010也和IIS同样，具有新建证书请求和完成证书请求功能。此举能够代替openSSL和IIS的制做证书过程。

1. 新建证书请求

打开 Exchange管理控制台 - 新建 Exchange 证书

在域范围页中，若是但愿制做通配符证书能够启用此项，若是非通配符证书在下一步进行子域名设置，选择下一步。

2. 填写CSR证书请求文件信息

和其它CSR制做同样，设定通用名称为一个子域名，例如 smtp.yourdomain.com，而后填写组织、单位等信息、邮箱等信息点击完成，这样就完成了整个证书请求文件的生成。此时私钥也一并生成，将此CSR文件提交给support@infinisign.com申请证书。

3. 完成证书安装

CA签发证书后，在Exchange管理控制台中点击完成等待请求，选择签发的证书，点击完成也完成了证书导入工做。

注意：Exchange 2010有时会提示错误信息The source data is corrupted or not properly Base64 encoded.一般这是自签名证书引发，尝试从新制做CSR。

4、Exchange 命令行管理程序进行安装

你可使用Exchange 命令行管理程序进行安装由CA签发的证书，具体命令以下：

1. 导入pfx证书

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\your_domain_name.p7b -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

2. 使用Exchange新建证书过程

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\your_domain_name.cer -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

注意：注意SMTP能够修改成 "IIS,POP,IMAP,SMTP"支持多个选项

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\your_domain_name.cer -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services "IIS,POP,IMAP,SMTP"