续订 Microsoft Exchange Server 身份验证证书

Microsoft Exchange Server 身份验证证书会在您安装 Exchange Server 时安装，并且有效期为 5 年。大多数时候，您不会查看该证书，因为在 5 年内，您将拥有一个新的 Exchange Server 并停用旧的 Exchange Server。如果您不小心删除了证书或者出现错误怎么办？在本文中，我们将了解如何续订 Microsoft Exchange Server 身份验证证书并检查其是否有效。

检查 Microsoft Exchange Server 身份验证证书

登录本地 Exchange 管理中心。导航至服务器 > 证书。如果组织中运行着多个 Exchange Server，请选择 Exchange Server。双击Microsoft Exchange Server 身份验证证书。

在我们的示例中，我们选择了 Exchange Server EX01-2016。

我们确实看到证书指纹以 C4C595 开头。

让我们使用 Exchange 命令行管理程序验证 Exchange Server 证书。

在本地 Exchange 上以管理员身份运行 Exchange 命令行管理程序。运行命令检查现有 OAuth 证书的状态。

[PS] C:\>(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List


AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=Microsoft Exchange Server Auth Certificate
NotAfter           : 9/28/2026 10:25:25 PM
NotBefore          : 9/28/2021 10:25:25 PM
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : 1B6BC2BD4BB4EFA848E6EE110E79241C
Services           : SMTP
Status             : Valid
Subject            : CN=Microsoft Exchange Server Auth Certificate
Thumbprint         : C4C5951857150DC2BC89E084DA51DB126A258C4F

假设 Exchange Server 身份验证证书已损坏或无效。也许您通过上述步骤看不到 Exchange 证书。在下一步中，我们将续订 Exchange Server 身份验证证书。

使用 PowerShell 续订 Microsoft Exchange Server 身份验证证书

让我们看一下如何续订 Microsoft Exchange Server 身份验证证书的步骤。在 Exchange 命令行管理程序中运行以下命令。

您是否正在考虑如何续订 Microsoft Exchange 证书？阅读文章续订 Microsoft Exchange 证书。

注意：大多数情况下您无法删除 Exchange Server 身份验证证书。没关系，当您创建和发布新的 Exchange Server 身份验证证书时，您将能够删除该证书。

1. 创建新的 Microsoft Exchange Server 身份验证证书

创建新的 Microsoft Exchange Server 身份验证证书。运行 New-ExchangeCertificate cmdlet。如果它要求您覆盖已有的证书，请按 Y 并按 Enter。

[PS] C:\>New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

Confirm
Overwrite the existing default SMTP certificate?

Current certificate: 'C4C5951857150DC2BC89E084DA51DB126A258C4F' (expires 9/28/2026 10:25:25 PM)
Replace it with certificate: '67D37D27B8D3583D5FAD32FC294E287D270E3297' (expires 9/29/2026 9:51:32 AM)
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): Y

Thumbprint                                Services   Subject
----------                                --------   -------
67D37D27B8D3583D5FAD32FC294E287D270E3297  ....S..    CN=Microsoft Exchange Server Auth Certificate

复制新的证书指纹，因为下一步需要它。在我们的例子中，它是以 67D37D 开头的证书指纹。

您可以在 Exchange 管理中心验证该命令是否创建了新的 Microsoft Exchange Server 身份验证证书。

注意：该证书将在所有 Exchange 服务器上创建（如果您在组织中运行多个 Exchange 服务器）。

2. 设置新的证书用于服务器身份验证

Set-AuthConfig 参数将 Microsoft Exchange 定义为合作伙伴应用程序，用于与其他合作伙伴应用程序（例如 Microsoft SharePoint 2013 和 Microsoft Lync 2013 或 Skype for Business Server 2015）进行服务器到服务器身份验证。

将您在上一步中复制的证书指纹粘贴到命令中。如果您选择当前日期，您将收到一条警告，指出新的生效日期不是未来 48 小时后的日期。按Y，然后按Enter。

[PS] C:\>Set-AuthConfig -NewCertificateThumbprint "67D37D27B8D3583D5FAD32FC294E287D270E3297" -NewCertificateEffectiveDate (Get-Date)

Confirm
The new certificate effective date is not at least "48" hours in the future and may not be deployed on all necessary servers. Do you wish to continue?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): Y

PublishCertificate 开关指定指定的证书立即滚动为当前证书。该证书立即部署到所有客户端访问服务器。

[PS] C:\>Set-AuthConfig -PublishCertificate

ClearPreviousCertificate 开关清除授权配置中保存为先前证书的证书。

[PS] C:\>Set-AuthConfig -ClearPreviousCertificate

3.重新启动Microsoft Exchange服务主机服务

重新启动 Microsoft Exchange 服务主机服务

[PS] C:\>Restart-Service "MSExchangeServiceHost"

4.重新启动IIS（Internet信息服务）

运行 IISReset 命令重新启动 IIS。

[PS] C:\>iisreset

另一种方法是回收 Outlook 网页版和 EAC 应用程序池。

[PS] C:\>Restart-WebAppPool "MSExchangeOWAAppPool"
[PS] C:\>Restart-WebAppPool "MSExchangeECPAppPool"

5. 删除旧的 Microsoft Exchange Server 身份验证证书

从 Exchange 管理中心或使用 PowerShell 删除旧的 Microsoft Exchange Server 身份验证证书。

注意：在所有 Exchange 服务器上执行此操作。

您在每台 Exchange Server 上仅拥有一个 Microsoft Exchange Server 身份验证证书。

重要提示：在某些环境中，OAuth 证书可能需要几个小时才能发布。

当您想要连接到 Exchange 管理中心时，会出现 ECP 错误。等待几个小时后，您可以成功登录，不会出现以下错误。

6. 重新运行混合配置向导

如果你有 Exchange 混合设置，则必须重新运行混合配置向导以更新对 Azure Active Directory (Azure AD) 的更改。

7. 验证 Microsoft Exchange Server 身份验证证书的有效性

运行 Exchange Server 运行状况检查器脚本以验证 Microsoft Exchange Server 身份验证证书状态是否有效。

了解更多：在 Exchange Hybrid 中续订证书 »

结论

我们展示了如何续订 Microsoft Exchange Server 身份验证证书。首先，按照所示步骤更新身份验证证书。之后，您可以删除旧的身份验证证书。如果您有 Exchange 混合部署，请重新运行混合配置向导。与往常一样，通过运行 Exchange 运行状况检查器脚本来验证新的 Microsoft Exchange Server 身份验证证书是否有效。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 安装 Exchange 证书。不要忘记关注我们并分享这篇文章。