在 Exchange Hybrid 中续订证书

如何在 Exchange Hybrid 中续订证书？您已在 Exchange Server 上安装了新的第三方证书。现在您已完成该任务，您想删除旧证书。但您会收到一条消息，指出这些证书标记有出站到 Office 365 发送连接器。为什么会出现这种情况，解决办法是什么？

无效的 Exchange 证书

登录到 Exchange 服务器。导航至服务器 > 证书。如果您有多个 Exchange 服务器，请从下拉菜单中选择 Exchange 服务器。

在我们的示例中，我们有一个无效的证书。

重要提示：在生产环境中，您需要在证书失效之前续订证书。否则，邮件流将无法工作。

安装 Exchange 证书

我们确实在 Exchange 服务器上安装了免费的 Let’s Encrypt 证书。此外，我们确实将其分配给 IMAP、ISS 和 SMTP 服务。该证书显示状态有效。

了解更多：使用 PowerShell 安装 Exchange 证书 »

这些证书标记有以下发送连接器

新证书已安装并且有效。但是，旧证书无效。让我们删除 Exchange Server 上的旧证书以保持一切整洁。

当我们想要删除无效的 Exchange 证书时，我们确实收到错误。

错误
服务器 EX02-2016 上发生特殊 Rpc 错误：这些证书标记有以下发送连接器：出站到 Office 365 - d1c9beac-0655-48e7-9949-5e497af1d38d。从发送连接器中删除和替换证书会破坏邮件流。如果您仍想继续，请从发送连接器中替换或删除这些证书，然后尝试此命令。

为什么会出现此错误？删除标有发送连接器出站到 Office 365 的证书的解决方案是什么？

使用 PowerShell 在 Exchange 混合中续订证书

此错误的解决方案是我们需要将新证书分配给：

1. 发送连接器：出站到 Office 365

2. 接收连接器：默认前端

重要提示：在其他 Exchange 服务器上执行相同的步骤。

按着这些次序：

步骤1.收集信息

在 Exchange 管理中心双击新证书。复制指纹。

转到邮件流>发送连接器。复制出站到 Office 365 发送连接器名称。在我们的示例中，它是出站到 Office 365 - d1c9beac-0655-48e7-9949-5e497af1d38d。

转到邮件流>接收连接器。复制默认前端接收连接器名称。在我们的示例中，它是默认前端 EX02-2016。

步骤 2. 设置新证书

以管理员身份运行 Exchange 命令行管理程序。获取带有您在上一步中复制的指纹的 Exchange 证书。

PS] C:\>Get-ExchangeCertificate -Thumbprint "2936E663C57F488BDC11661357DB60D031A90CE8"

Thumbprint                                Services   Subject
----------                                --------   -------
2936E663C57F488BDC11661357DB60D031A90CE8  I..WS..    CN=mail.exoip.com

将值存储到 $TLSCert 变量中。

[PS] C:\>$TLSCert = Get-ExchangeCertificate -Thumbprint "2936E663C57F488BDC11661357DB60D031A90CE8"

将证书颁发者和证书主题值存储到 $TLSCertName 变量中。

[PS] C:\>$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"

运行 Set-SendConnector cmdlet，包括 TlsCertificateName 参数。填写您在上一步中复制的 Exchange Server 名称\发送连接器名称。

[PS] C:\>Set-SendConnector "Outbound to Office 365 - d1c9beac-0655-48e7-9949-5e497af1d38d" -TlsCertificateName $TLSCertName

运行 Set-ReceiveConnector cmdlet，包括 TlsCertificateName 参数。填写您在上一步中复制的 Exchange Server 名称\接收连接器名称。

[PS] C:\>Set-ReceiveConnector "EX02-2016\Default Frontend EX02-2016" -TlsCertificateName $TLSCertName

当您运行 Set-SendConnector 和 Set-ReceiveConnector cmdlet 时，您可能会收到警告作为输出。这是因为新的证书的颁发者字段和证书的主题字段与旧证书相同。

在我们的示例中，我们添加了一个新的 Let’s Encrypt 证书。但旧证书也是来自 Let’s Encrypt。这就是我们收到以下错误的原因。

警告：命令成功完成，但未修改任何设置。

当您看到上述警告时，不必担心。但您应该删除旧证书。不幸的是，它不会让您在 Exchange 管理中心删除它，因为它仍然认为它已连接到两个连接器。

查看 MMC 管理单元中的证书，并删除个人存储中的无效证书。识别证书的一个很好的方法是检查到期日期。

返回 Exchange 管理中心。刷新页面或单击工具栏中的刷新图标。旧证书已成功删除，新证书仍然可用。

步骤 3. 重新启动 IIS

重新启动 Exchange Server 上的 Internet 信息服务 (IIS)。

[PS] C:\>iisreset

使用 Office 365 混合配置向导续订 Exchange 混合中的证书

续订 Exchange 混合证书的另一种方法是重新运行混合配置向导。在第一步中连接您的凭据，然后单击下一步按钮完成设置向导。

您将在设置向导中看到传输证书窗口。选择新证书。单击下一步。

单击更新。

Office 365 混合配置向导为发送连接器和接收连接器配置了新证书。

就是这样！

继续阅读：续订 Microsoft Exchange Server 身份验证证书 »

结论

您了解了如何续订 Exchange 混合证书。收集新的证书信息并运行命令以在发送连接器和接收连接器上设置 TLS 证书。另一种方法是重新运行 Office 365 混合配置向导并选择新证书。

您喜欢这篇文章吗？您可能还喜欢如何在 Exchange Server 中导出证书。不要忘记关注我们并分享这篇文章。