如何在 Exchange Server 中创建证书

如何在 Exchange Server 中创建证书？使用 SSL 证书保护与 Exchange Server 的连接非常重要。让我们看看如何生成证书请求、完成证书请求以及将服务分配给证书。使用本文中的相同步骤在 Exchange Server 中续订第三方证书。

Exchange 服务器证书

安装 Exchange Server 时创建了三个默认证书：

• Microsoft Exchange（自签名）
• WMSVC 或 WMSVC-SHA2（取决于 Exchange Server 版本）（自签名）
• Microsoft Exchange Server 身份验证证书（自签名）

除了上述默认自签名证书之外，您还必须在 Exchange Server 上安装从证书颁发机构 (CA) 获取的第三方证书：

• 第三方证书（CA 签名）

如何在 Exchange Server 中创建证书

让我们看一下在 Exchange Server 中创建第三方证书的步骤。在 Exchange 命令行管理程序中运行以下命令。

步骤1.创建共享文件夹

登录到 Exchange 服务器。这可以是新的 Exchange Server，也可以是已安装和配置的 Exchange Server。在(C:) 驱动器上创建一个文件夹，并将其命名为Certs。右键单击Certs 文件夹并共享此文件夹。

为文件夹分配权限：

• 您的帐户（管理员） - 权限更改/读取允许
• 系统 - 权限更改/读取允许

浏览到共享证书文件夹路径并验证您是否可以打开该文件夹，然后再继续下一步。

步骤 2. 生成 Exchange 证书请求

从 Exchange Server 2016 CU23 及更高版本和 Exchange Server 2019 CU12 及更高版本开始，创建 Exchange 证书的唯一选项是使用 PowerShell（Exchange 命令行管理程序）。

注意：为了防止攻击者滥用 UNC 路径，Microsoft 删除了将 UNC 路径作为 Exchange Server PowerShell cmdlet 和 Exchange 管理中心输入的参数。这些更改将影响 Microsoft Exchange Server 2019（CU12 及更高版本）和 Microsoft Exchange Server 2016（CU23 及更高版本）的所有累积更新 (CU) 版本。请阅读 Exchange Server 证书更改一文来了解更多信息。

以管理员身份运行 Exchange 命令行管理程序。运行 New-ExchangeCertificate cmdlet 并填写详细信息：

• 服务器：指定要在其上生成请求的 Exchange 服务器。
• GenerateRequest：准备第 3 方证书请求。
• FriendlyName：证书的友好名称。
• PrivateKeyExportable：允许您将证书导出/导入到其他 Exchange 服务器。
• SubjectName：证书请求的主题字段。
• DomainName：指定一个或多个 FQDN。

$txtrequest = New-ExchangeCertificate -Server "EX01-2019" -GenerateRequest -FriendlyName "Exchange Certificate 3rd party" -PrivateKeyExportable $true -SubjectName "c=NL, s=South Holland, l=The Hague, o=EXOIP, ou=IT, cn=mail.exoip.com" -DomainName mail.exoip.com,autodiscover.exoip.com

要创建通配符证书请求，您应该调整 -SubjectName 参数并删除 -DomainName 参数。

$txtrequest = New-ExchangeCertificate -Server "EX01-2019" -GenerateRequest -FriendlyName "Exchange Certificate 3rd party" -PrivateKeyExportable $true -SubjectName "c=NL, s=South Holland, l=The Hague, o=EXOIP, ou=IT, cn=*.exoip.com"

运行第二个命令将证书请求导出到共享文件夹。

[System.IO.File]::WriteAllBytes('\ex01-2019\Certs\ExchangeCert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

登录 Exchange 管理中心。转到服务器> 证书。验证您是否看到状态为待处理请求的 Exchange 证书。

步骤 3. 处理 Exchange 证书请求

转到共享文件夹并使用记事本打开 ExchangeCert.req。

接下来，复制证书请求。

登录第三方证书颁发机构。这可以是您的任何选择。确保选择多域证书，因为该证书中有多个域名。

粘贴复制的证书请求并检查 CSR 信息是否正确。它将显示公司名称和域名。

继续付款。

证书颁发机构将要求您验证域。这可以通过向域注册中列出的电子邮件收件人发送电子邮件或通过在公共 DNS 中添加记录来实现。

步骤 4. 完成 Exchange 证书请求

该证书已准备好供您从证书颁发机构下载。从证书颁发机构下载证书并将其解压到 Exchange Server 共享文件夹。

为证书指定一个易于访问的名称。在我们的示例中，证书名称是 Exoip.crt。

运行 Import-ExchangeCertificate cmdlet 以完成待处理的证书。

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\ex01-2019\Certs\Exoip.crt')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'P@ssw0rd1' -AsPlainText -Force)

Exchange 证书将显示状态有效。

步骤 5. 将 Exchange 服务分配给证书

双击证书并复制证书指纹。

运行 Enable-ExchangeCertificate cmdlet 将服务分配给证书。填写您复制的指纹值。

Enable-ExchangeCertificate -Server "EX01-2019" -Thumbprint 6C31EB21621378CB5454A32F2DF0D1F87FAF69C5 -Services SMTP,IMAP,IIS -Force

步骤 6. 重新启动 IIS（Internet 信息服务）

重新启动 Exchange Server 上的 Internet 信息服务 (IIS)。

iisreset

步骤 7. 验证新的 Exchange 证书

转到 Outlook Web Access (OWA) URL 或 Exchange 管理中心 (EAC) URL。验证网站连接是否安全。另外，检查 Outlook 客户端是否启动且没有任何错误。

步骤 8. 将证书复制到另一台 Exchange 服务器

假设您有多个 Exchange Server。然后您就不必再次执行所有步骤。相反，您可以按照以下文章导出证书并将其导入到其他 Exchange 服务器：

• 在 Exchange Server 中导出证书
• 在 Exchange Server 中导入证书

步骤 9. 续订 Exchange 混合证书

如果您有 Exchange 混合环境，则还有更多配置。您必须将第三方证书分配给 Office 365/Microsoft 365 连接器。有关详细信息，请参阅在 Exchange 混合中续订证书一文。

结论

您学习了如何在 Exchange Server 中创建证书。首先，生成证书请求。接下来，完成证书请求。最后，将服务分配给证书。当您想要续订 Exchange Server 第三方证书时，适用相同的步骤。

您喜欢这篇文章吗？您可能还喜欢续订 Microsoft Exchange Server 身份验证证书。不要忘记关注我们并分享这篇文章。