如何在 Exchange Server 中续订 WMSVC-SHA2 证书

您想要续订 WMSVC-SHA2 证书，因为它即将过期。另一个原因是WMSVC-SHA2证书丢失，Web Management Service服务无法启动。您会在 IIS 和事件日志中收到与此相关的错误。在本文中，您将了解如何在 Exchange Server 中续订 WMSVC-SHA2 证书。

Exchange 服务器证书

安装 Exchange Server 时创建了三个默认证书：

• Microsoft Exchange Server 身份验证证书（自签名）
• Microsoft Exchange（自签名）
• WMSVC 或 WMSVC-SHA2（取决于 Exchange Server 版本）（自签名）

除了上述默认自签名证书之外，您还必须在 Exchange Server 上安装从证书颁发机构 (CA) 获取的第三方证书：

• 第三方证书（CA 签名）

WMSVC-SHA2 证书错误

让我们看看当 WMSVC-SHA2 证书丢失或未附加到 Exchange Server 上的 Web Management Service 服务时会发生什么情况。

启动Windows 服务管理器并选择Web 管理服务。单击开始。

出现错误：

Windows 无法启动本地计算机上的 Web 管理服务。有关详细信息，请查看系统事件日志。如果这是非 Microsoft 服务，请联系服务供应商，并参考特定于服务的错误代码 -217483640。

让我们启动 Internet 信息服务 (IIS) 管理器。单击Exchange Server，然后双击管理服务。

管理服务中缺少 SSL 证书，并且有两个警报：

• 管理服务 (WMSCV) 已停止。必须启动该服务才能使用 IIS 管理器远程管理 Web 服务器。
• 无法检索管理服务 (WMSVC) 设置。

启动事件查看器。单击Windows 日志> 应用程序。按事件 ID 1007 进行过滤。

无法找到来自源 Microsoft-Windows-IIS-IISManager 的事件 ID 1007 的描述。您的本地计算机上未安装引发此事件的组件，或者安装已损坏。您可以在本地计算机上安装或修复该组件。

如果事件源自另一台计算机，则显示信息必须与事件一起保存。

以下信息包含在以下信息中：事件：

IISWMSVC_STARTUP_UNABLE_TO_READ_CERTIFICATE

无法读取指纹为“9556b4f47d7c90dcc7e25163299335a825a874f0”的证书。请确保 SSL 证书存在并且在管理服务页面中正确配置。

进程：WMSvc
User=NT AUTHORITY\LOCAL SERVICE

消息资源存在，但在消息表中找不到消息

单击系统并筛选事件 ID 7024。

Web 管理服务因以下特定于服务的错误而终止：
未指定的错误

我们发现 Exchange Server 中缺少 WMSVC-SHA2 证书，并且事件查看器中出现错误。

如何续订 WMSVC-SHA2 证书

我们将创建一个新的 WMSVC 证书并将其正确附加到 Web Management Service 服务，以便一切都能按预期工作。如果您的 WMSVC 证书即将过期并且您想要续订它，则适用相同的步骤。

重要提示：请勿删除 WMSVC（Web 管理服务）证书。 WMSVC 是自签名证书，是远程管理 Web 服务器所必需的。

在我们的示例中，WMSVC 证书被意外删除，因为工程师认为该证书未附加到任何 Exchange Server 服务并且没有执行任何操作。

注意：您必须在缺少 WMSVC-SHA2 证书或想要续订该证书的每台 Exchange Server 上执行所有步骤。

1.创建新的WMSVC-SHA2证书

在 Exchange Server 中创建新的 WMSVC-SHA2 证书。

以管理员身份运行 Exchange 命令行管理程序。运行 New-ExchangeCertificate cmdlet 并填写详细信息：

• SubjectName： 证书请求的主题字段。需要设置为CN=WMSvc-SHA2-ExchangeServerHostName
• FriendlyName： 证书的友好名称。需要将其设置为WMSCVC-SHA2。
• 服务：您要为其启用自签名证书的服务。需要将其设置为无。
• KeySize：RSA 公钥的大小（以位为单位）。需要设置为2048。
• PrivateKeyExportable：允许您将证书导出/导入到其他 Exchange 服务器。这需要设置为$true。

您需要在以下命令中进行的唯一更改是将 EX01-2019 更改为您的 Exchange Server 主机名。

New-ExchangeCertificate -SubjectName "CN=WMSvc-SHA2-EX01-2019" -FriendlyName "WMSCVC-SHA2" -Services None -KeySize 2048 -PrivateKeyExportable $true

2.复制新的WMSVC-SHA2证书

将新的 WMSVC-SHA2 证书从个人存储复制到受信任的根证书颁发机构存储。

启动 Microsoft 管理控制台 (MMC) 并添加证书管理单元。

选择计算机帐户，然后单击下一步。

单击确定。

展开文件夹个人>证书。右键单击新证书，然后单击复制。

展开文件夹受信任的根证书颁发机构>证书。右键单击文件夹证书，然后单击粘贴。

验证新的 WMSVC-SHA2 自签名证书是否出现在列表中。

3. 在 Exchange Server 中验证新的 WMSVC-SHA2 证书

登录 Exchange 管理中心。单击服务器 > 证书。如果组织中运行着多个 Exchange Server，请选择 Exchange Server。

验证新的 WMSVC-SHA2 证书是否出现在列表中，并确保未分配任何服务。

4.删除旧证书

选择旧证书（如果有），然后单击工具栏中的删除图标。

证书列表中只有一个 WMSVC-SHA2 证书。

返回MMC并展开文件夹个人>证书。验证您是否只看到一个 WMSVC-SHA2 Exchange 证书。

展开文件夹受信任的根证书颁发机构>证书。右键单击旧 WMSVC-SHA2 证书（如果有），然后单击删除。

仅新的 WMSVC-SHA2 证书需要出现在列表中。

5.将WMSVC-SHA2证书分配给Web Management Service服务

启动Internet 信息服务(IIS) 管理器。单击Exchange 服务器 > 管理服务。

选择您在上一步中创建的 WMSVC-SHA2。单击应用。

单击开始。

转到Windows 服务管理器并验证Web 管理服务服务是否已启动。

就是这样！

了解更多：续订 Microsoft Exchange 证书 »

结论

您了解了如何在 Exchange Server 中续订 WMSVC-SHA2 证书。首先，创建新的 WMSVC-SHA2 证书。之后，删除旧的 WMSVC-SHA2 证书（如果可用）。接下来，将其附加到 IIS 管理服务。最后，启动 Web Management Service 服务。

您喜欢这篇文章吗？您可能还喜欢续订 Microsoft Exchange Server 身份验证证书。不要忘记关注我们并分享这篇文章。