Exchange日常管理九之创建证书服务器.docxVIP

Exchange日常治理九之：创立证书效劳器

在前面的博文中我们和大伙儿介绍了如何实现Exchange效劳器如何实现高可用的部署，其中包括如何创立CAS阵列以及如何创立DAG组，那么今天的博文中我们就来和大伙儿介绍一下Exchange效劳器中的CA证书效劳器。

安装ActiveDirectory证书效劳

首先介绍证书是因为Exchange许多效劳都需要证书的支持，证书申请的颁发机构能够使用自己创立的，也能够到商业CA购置。我推举自己创立CA，毕竟到商业CA购置一个证书需要几千甚至上万的人民币，而且申请起来远远没有私有CA这么灵活。

翻开效劳器治理器：

点击角色----添加角色：

系统弹出添加角色向导，我们直截了当下一步：

那个地点我们勾选ActiveDirectory证书效劳，点击下一步：

那个地点系统给我们弹出来证书效劳器的简介，我们能够直截了当点击下一步：

在选择角色效劳界面我们勾选证书颁发机构和证书颁发机构Web注册，然后点击添加所需的角色效劳:

能够瞧到我们需要安装的效劳差不多成功勾选，我们直截了当点击下一步即可：

那个地点我们选择企业，点击下一步：

因为我是第一次安装，因此在此我选择根，然后点击下一步：

维持默认，点击下一步：

那个地点让我们选择加密算法，因为我是实验环境，因此那个地点我维持默认点击下一步：

那个地点安装向导让我们配置CA名称，在此我维持默认，点击下一步：

证书有效期，我们维持默认点击下一步:

证书数据库位置，维持默认点击下一步:

OK、能够瞧到安装证书效劳时候能够会自动安装Web效劳器，那个地点我们直截了当下一步即可:

维持默认，点击下一步：

确认信息无误，点击安装：

安装成功，我们点击关闭。

OK、到那个地点我们域操纵器上的操作就差不多完成了!

申请证书

在Exchange效劳器上翻开Exchange的治理操纵台EMC:

点击效劳器端配置：

我们能够瞧到Exchange证书那个选项卡，在选项卡空白处鼠标右键：

点击新建Exchange证书:

系统给我们弹出了新建Exchange证书向导，能够瞧到在那个界面系统要求我们输进一个证书的友好名称，那个名词我们能够随意出进它只是一个标记而已，因此在此我输进mail.contoso点击下一步：

那个地点系统咨询我们是否使用通配符。要是我们的证书后缀都相同，能够使用通配符。

例如：*.contoso，如此更方便一些。要是证书的域名后缀不同，通配符证书就不太适宜了

那个地点我选择不启用通配符，维持默认点击下一步：

OK、到这一步可能有许多朋友都不明白，事实上你能够向我如此勾选然后直截了当点击下一步，具体什么缘故我们会在下面做出解释。在这我点击下一步：

相信瞧到这张图大伙儿就明白了吧，那个地点能够直截了当输进证书名称，比之前的图要方便的多。一般来讲，证书的名称要包含以下几个：

2、是Exchange效劳器CAS阵列的计算机名，本例中是mail.contoso；

3、是outlook自动发现的保持计算机名，那个名称必须是autodiscover.contoso；

4、是旧版本Exchange的保持名称，本例中是legacy.contoso。要注重的是，legacy.contoso的域名要解析到旧版本的Exchange2003前端效劳器。那个地点要略微解释一下，当旧版本Exchange和Exchange2021并存时，要确保用户首先访咨询到Exchange2021的CAS效劳器。当用户访咨询到Exchange2021的CAS效劳器后，要是用户访咨询的邮箱隶属于Exchange2021，CAS效劳器会自动跳转到Exchange2021的邮箱效劳器；要是用户访咨询的邮箱隶属于旧的Exchange效劳器，CAS效劳器就会自动跳转到legacy.contoso效劳器，由legacy.contoso再跳转到旧版本Exchange的邮箱效劳器。因此legacy.contoso的IP地址一定要对应旧版本Exchange的前端效劳器。

OK、确认没有咨询题，我们点击下一步：

这一步上面的内容能够随便填，要害是证书请求文件路径，那个地点我保持到了C:\zhengshu.req，确认没咨询题点击下一步：

确认我们的证书配置没有咨询题，点击新建:

能够瞧到新建完成，我们点击完成：

能够瞧到我们的证书选项卡中多了一个名称为mail.contoso的证书。

因为我们差不多在域操纵器上部署了CA证书效劳器，因此我们在Exchange效劳器上翻开扫瞄器输进：

讲明:://dcserver/certsrv

在那个地点我们输进用户名和密码后点击确定：

点击申请证书：

那个地点我们要申请一个高级证书，因此点击高级证书申请：

那个地点我们选择使用base64:

瞧到那个地点让我们输进一个bash-64的编