exchange 2007设置ssl证书.docVIP

步骤 1: 获取 SSL 证书 有三个选项可用于获取 SSL 证书: - 选项 1: 使用 Exchange 2007 在默认情况下安装的自行签署式 SSL 证书。Outlook Anywhere 或脱机通讯簿不支持该方式。Exchange ActiveSync 将要求设备安装相应的受信任的根证书。 - 选项 2: 从已知的证书颁发机构购买 SSL 证书 - 选项 3: 从 Windows PKI 证书颁发机构获取 SSL 证书 - 如果选择选项 1，请跳过步骤 2 和步骤 3，直接转到步骤 4。 - 如果选择选项 2 或选项 3，请继续执行步骤 2。 - 注意: 对于这三个选项，Exchange ActiveSync 都要求设备安装相应的受信任的根证书。 步骤 2: 生成并提交证书请求 为安全套接字层(SSL)服务新建证书请求。 - 打开 Exchange 命令行管理程序。 - 使用适当的值替换 domainname 和 friendlyname，运行以下命令: New-ExchangeCertificate -GenerateRequest -domainname mail.contoso.msft,autodiscover.contoso.msft,myserver,myserver.internal.contoso.msft -FriendlyName mail.contoso.msft -privatekeyexportable:$true -path c:\cert_myserver.txt - 注意: “DomainName”用于将一个或多个域名(FQDN)或服务器名填充到最终生成的证书请求中。 - 注意: “FriendlyName”用于为最终生成的证书指定一个友好名称。友好名称必须少于 64 个字符。 - 将请求提交到证书颁发机构，使 CA 生成证书。 步骤 3: 在默认网站上启用证书 在拥有了新生成的证书之后，必须将其导入并在默认网站上启用该证书。 - 从运行步骤 2 的计算机上导入证书。若要导入证书，请执行以下操作: - 打开 Exchange 命令行管理程序。 - 运行以下命令(其中，“c:\newcert.cer”是您的证书的位置和名称): Import-ExchangeCertificate -path c:\newcert.cer - 执行以下操作，将证书的指纹(证书数据的摘要)复制到剪贴板: - 打开 Exchange 命令行管理程序。 - 运行以下命令: dir cert:\LocalMachine\My | fl - 通过查找与步骤 2 中的 FriendlyName 相匹配的证书，找到刚才导入的证书，然后将“指纹”属性复制到 Windows 剪贴板。 - 执行以下操作，在默认网站上启用证书: - 打开 Exchange 命令行管理程序。 - 运行以下命令: enable-ExchangeCertificate -thumbprint [value you got from above] -services IIS,IMAP,POP - 使用“enable-ExchangeCertificate”cmdlet 将更新证书映射，因此会替换默认情况下随 Exchange 2007 一起安装并在 IIS、IMAP4 和 POP3 配置中配置的自行签署式证书。 步骤 4: 要求客户端访问服务器虚拟目录使用 SSL 默认情况下，IIS 默认网站配置为对脱机通讯簿之外的所有虚拟目录都要求 SSL。因为可能会配置其他虚拟目录，所以，对于计划使用的每个客户端访问功能，都必须确保该虚拟目录使用 SSL。对于下面列出的每个虚拟目录，在 Internet 信息服务管理器中重复下面所述的步骤以请求 SSL 对于下面列出的每个虚拟目录，在 Internet 信息服务管理器中重复下面所述的步骤以请求 SSL。 - Outlook Web Access 2007 虚拟目录为“owa” - Outlook Web Access 2003 虚拟目录和 WebDAV 虚拟目录分别为“exchange”和“public” - Exchange ActiveSync 虚拟目录为“Microsoft-Server-ActiveSync” - Outlook Anywhere 虚拟目录为“Rpc” - Autodiscover 虚拟目录为“Autodiscover” - Exchange Web 服务虚拟目录为“EWS” - 统一消息虚拟目录为“Unified Messaging” - 脱机通讯簿虚拟目录为“OAB” - 对于以上每个要使用的虚拟目录，打开 Internet 信息服务(IIS)管理器并执行以下步骤。