续订 Microsoft Exchange 证书

Microsoft Exchange 证书是在您安装 Exchange Server 时安装的，并且有效期为 5 年。大多数时候，您不会查看该证书，因为在 5 年内，您将拥有一个新的 Exchange Server 并停用旧的 Exchange Server。如果需要更新证书怎么办？ Microsoft Exchange 自签名证书即将到期，并且不会自动续订。在本文中，您将了解如何续订 Microsoft Exchange 证书。

如何续订 Microsoft Exchange 证书

让我们看一下续订自签名 Microsoft Exchange 证书的步骤。在 Exchange 命令行管理程序中运行以下命令。

您是否正在考虑如何续订 Microsoft Exchange Server 身份验证证书？阅读文章续订 Microsoft Exchange Server 身份验证证书。

重要提示：即使您有 DAG 配置，也请在工作时间后执行以下步骤。这是因为证书可以解除默认网站证书的绑定，用户将收到证书错误。您必须在所有 Exchange 服务器上执行这些步骤。

1. 获取Microsoft Exchange证书

登录本地 Exchange 管理中心。导航至服务器 > 证书。如果组织中运行着多个 Exchange Server，请选择 Exchange Server。双击 Microsoft Exchange 证书。

在我们的示例中，我们选择了 Exchange Server EX01-2019。

我们确实看到证书指纹以 1AC4D5 开头。

让我们使用 Exchange 命令行管理程序验证 Exchange Server 证书。

在本地 Exchange 上以管理员身份运行 Exchange 命令行管理程序。运行 Get-ExchangeCertificate cmdlet 以检查现有的 Microsoft Exchange 证书状态。

注意：复制证书指纹，因为在下一步续订 Microsoft Exchange 证书时需要它。

[PS] C:\>Get-ExchangeCertificate | where {$_.FriendlyName -like "Microsoft Exchange"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,RootCAType,*PrivateKey*,NotBefore,NotAfter


FriendlyName         : Microsoft Exchange
Subject              : CN=EX01-2019
CertificateDomains   : {EX01-2019, EX01-2019.exoip.local}
Thumbprint           : 1AC4D54C18DC523EE9EB57FCE81F83F5400B4055
RootCAType           : Registry
PrivateKeyExportable : False
HasPrivateKey        : True
PrivateKey           : System.Security.Cryptography.RSACryptoServiceProvider
NotBefore            : 4/17/2022 10:09:49 AM
NotAfter             : 4/17/2027 10:09:49 AM

并非所有属性都在 Exchange 命令行管理程序的标准视图中可见。如果您想要获取所有 Microsoft Exchange 证书属性，请使用Format-List *。

[PS] C:\>Get-ExchangeCertificate | where {$_.FriendlyName -like "Microsoft Exchange"} | Format-List *

下一步，我们将续订 Microsoft Exchange 证书。

2. 创建新的 Microsoft Exchange 证书

创建新的 Microsoft Exchange 证书。运行 New-ExchangeCertificate cmdlet 并将之前复制的证书指纹粘贴到命令中。

注意：大多数情况下您无法删除 Microsoft Exchange 证书。创建并发布新的 Microsoft Exchange 证书后，您将能够删除该证书。

[PS] C:\>Get-ExchangeCertificate -Thumbprint "1AC4D54C18DC523EE9EB57FCE81F83F5400B4055" | New-ExchangeCertificate -Force -PrivateKeyExportable $false

Thumbprint                                Services   Subject
----------                                --------   -------
F7C9380B3D7C4FCFE7AD8C7ACE17AEA0F6399DBD  IP..S..    CN=EX01-2019

如果您没有 Microsoft Exchange 证书，则应运行以下命令。

[PS] C:\>New-ExchangeCertificate -Force -PrivateKeyExportable $false

3. 复制新的 Microsoft Exchange 证书

将新的 Microsoft Exchange 证书从个人存储复制到受信任的根证书颁发机构存储。

启动 Microsoft 管理控制台 (MMC) 并添加证书管理单元。

选择计算机帐户，然后单击下一步。

单击确定。

展开文件夹个人 > 证书。右键单击新证书，然后单击复制。

展开文件夹受信任的根证书颁发机构 > 证书。右键单击文件夹证书，然后单击粘贴。

验证新的 Microsoft Exchange 证书是否出现在列表中。

4. 将 IIS 服务分配给证书

刷新 Exchange 管理中心页面或单击工具栏中的刷新按钮。您将在列表中看到新证书。单击新证书并编辑证书。

点击服务。确保选中服务 SMTP、IMAP、POP、IIS。单击保存。

注意：某些 Exchange 服务呈灰色显示，但这完全没问题。

验证分配给服务的新 Microsoft Exchange 证书是否显示IMAP、POP、IIS、SMTP。

5.删除旧证书

在列表中选择旧证书，然后单击工具栏中的删除图标。

证书列表中只有一个 Microsoft Exchange 证书。

返回MMC并展开文件夹个人>证书。验证您是否只看到一个 Microsoft Exchange 证书。

展开文件夹受信任的根证书颁发机构 > 证书。右键单击旧的 Exchange Server 证书，然后单击删除。

6.检查IIS站点绑定

验证新的 Microsoft Exchange 自签名证书是否在 Exchange 后端中正确绑定。另外，验证默认网站是否具有第三方证书。

重要提示：删除、续订证书或向证书分配服务可以从 Exchange 后端和默认网站中删除证书。检查证书绑定并应用正确的证书至关重要。

交换后端

启动Internet 信息服务(IIS) 管理器。单击交换后端。选择绑定。编辑类型 https 和端口 444。

选择Microsoft Exchange证书。单击确定。

默认网站

单击默认网站。选择绑定。浏览并编辑所有带有端口 443 的 https 类型。

选择第三方证书。单击确定。

7.重新启动IIS（Internet信息服务）

运行 IISReset 命令重新启动 IIS。

[PS] C:\>iisreset

8. 验证 Microsoft Exchange 证书的有效性

运行 Exchange Server 运行状况检查器脚本以验证 Microsoft Exchange 证书状态是否有效。

了解更多：在 Exchange Hybrid 中续订证书 »

结论

我们展示了如何续订 Microsoft Exchange 证书。首先，执行续订 Microsoft Exchange 证书的步骤。之后，删除旧的 Microsoft Exchange 证书。接下来，验证 Exchange 后端和默认网站上的 IIS 站点绑定是否具有正确的证书。最后，重置IIS。如果组织中运行多个 Exchange Server，请在每台 Exchange Server 上执行这些步骤。

您喜欢这篇文章吗？您可能还喜欢如何在 Exchange Server 中导入证书。不要忘记关注我们并分享这篇文章。