Exchange 日常管理九之:创建证书服务器
在前面的博文中我们和大家介绍了如何实现Exchange服务器如何实现高可用的部署,其中包括如何创建CAS阵列以及如何创建DAG组,那么今天的博文中我们就来和大家介绍一下Exchange服务器中的CA证书服务器。
安装Active Directory证书服务
首先介绍证书是因为Exchange很多服务都需要证书的支持,证书申请的颁发机构可以使用自己创建的,也可以到商业CA购买。我推荐自己创建CA,毕竟到商业CA购买一个证书需要几千甚至上万的人民币,而且申请起来远远没有私有CA这么灵活。
打开服务器管理器:
点击角色----添加角色:
系统弹出添加角色向导,我们直接下一步:
这里我们勾选Active Directory证书服务,点击下一步:
这里系统给我们弹出来证书服务器的简介,我们可以直接点击下一步:
在选择角色服务界面我们勾选证书颁发机构和证书颁发机构Web注册,然后点击添加所需的角色服务:
可以看到我们需要安装的服务已经成功勾选,我们直接点击下一步即可:
这里我们选择企业,点击下一步:
因为我是第一次安装,所以在此我选择根,然后点击下一步:
保持默认,点击下一步:
这里让我们选择加密算法,因为我是实验环境,所以这里我保持默认点击下一步:
这里安装向导让我们配置CA名称,在此我保持默认,点击下一步:
证书有效期,我们保持默认点击下一步:
证书数据库位置,保持默认点击下一步:
OK、可以看到安装证书服务时候可以会自动安装Web服务器,这里我们直接下一步即可:
保持默认,点击下一步:
确认信息无误,点击安装:
安装成功,我们点击关闭。
OK、到这里我们域控制器上的操作就已经完成了!
申请证书
在Exchange服务器上打开Exchange的管理控制台EMC:
点击服务器端配置:
我们可以看到Exchange证书这个选项卡,在选项卡空白处鼠标右键:
点击新建Exchange证书:
系统给我们弹出了新建Exchange证书向导,可以看到在这个界面系统要求我们输入一个证书的友好名称,这个名词我们可以随意出入它只是一个标记而已,所以在此我输入mail.contoso.com点击下一步:
这里系统问我们是否使用通配符。如果我们的证书后缀都相同,可以使用通配符。
例如:*.contoso.com,这样更方便一些。如果证书的域名后缀不同,通配符证书就不太合适了
这里我选择不启用通配符,保持默认点击下一步:
OK、到这一步可能有许多朋友都不明白,其实你可以向我这样勾选然后直接点击下一步,具体为什么我们会在 下面做出解释。在这我点击下一步:
相信看到这张图大家就明白了吧,这里可以直接输入证书名称,比之前的图要方便的多。一般来说,证书的名称要包含下列几个:
1、 是Exchange服务器的计算机名,本例中是cas-1.congoto.com和cas-2.contoso.com
2、 是Exchange服务器CAS阵列的计算机名,本例中是mail.contoso.com;
3、 是outlook自动发现的保留计算机名,这个名称必须是autodiscover.contoso.com;
4、 是旧版本Exchange的保留名称,本例中是legacy.contoso.com。要注意的是,legacy.contoso.com的域名要解析到旧版本的Exchange2003前端服务器。这里要稍微解释一下,当旧版本Exchange和Exchange2010并存时,要确保用户首先访问到Exchange2010的CAS服务器。当用户访问到Exchange2010的CAS服务器后,如果用户访问的邮箱隶属于Exchange2010,CAS服务器会自动跳转到Exchange2010的邮箱服务器;如果用户访问的邮箱隶属于旧的Exchange服务器,CAS服务器就会自动跳转到legacy.contoso.com服务器,由legacy.contoso.com再跳转到旧版本Exchange的邮箱服务器。因此legacy.contoso.com的IP地址一定要对应旧版本Exchange的前端服务器。
OK、确认没有问题,我们点击下一步:
这一步上面的内容可以随便填,关键是证书请求文件路径,这里我保存到了C:\zhengshu.req,确认没问题点击下一步:
确认我们的证书配置没有问题,点击新建:
可以看到新建完成,我们点击完成:
可以看到我们的证书选项卡中多了一个名称为mail.contoso.com的证书。
因为我们已经在域控制器上部署了CA证书服务器,所以我们在Exchange服务器上打开浏览器输入:http://contoso.com/certsrv
说明: http://dcserver/certsrv这里的deserver是指我们的域名,因为我使用的域名是contoso.com所以在上面我输入的是http://contoso.com/certsrv
在这里我们输入用户名和密码后点击确定:
点击申请证书:
这里我们要申请一个高级证书,所以点击高级证书申请:
这里我们选择使用base64:
看到这里让我们输入一个bash-64的编码相信许多朋友都蒙了,在这里大家不要着急,不知道大家是否还记得前面我们新建了一个保存在c:\zhengshu.req的文件,下面我们用记事本打开这个文件,然后将里面的内容复制到这里:
可以看到我们已经成功复制过来bash-64编码,下面我们需要将证书模板调为Web服务器,然后点击提交:
可以看到证书以及成功颁发,我们点击下载证书:
我们将证书保存到指定位置
打开我们Exchange的管理控制台:
可以看到我们刚刚新建的证书是处于一个挂起的状态,现在我们在其上鼠标右键:
点击完成搁置请求:
这里选择我们刚刚申请的证书的位置,然后点击完成:
可以看到已完成字样,我们点击完成:
可以看到我们名称为mail.contoso.com这个域名已经是有效的状态了
证书导出/倒入
第一台Exchange CAS服务器申请完证书后,我们可以把申请的证书直接导出给第二台CAS服务器,这样可以避免在第二台CAS服务器上重新申请证书的麻烦。
在Exchange的EMC中右键点击第一台CAS服务器的证书:
点击导出Exchange证书
这里我们输入文件名称和密码后点击导出(注意此证书为pfx格式,所以在文件名称位置需要注意):
可以看到已经导出成功,我们点击完成
点击完成后鼠标右键我们的第二台CAS/HUB服务器cas-2:
选择导入Exchange证书:
这里选择我们刚刚导出的.pxf格式的证书并且输入我们所设置的密码,点击下一步:
确定没有问题,点击下一步:
点击导入:
可以看到证书导入完成,现在两台CAS/HUB服务器上都已经有证书。由于客户机并不直接访问邮箱服务器,因此两台邮箱服务器就不用申请证书了
证书分配服务
两台CAS/HUB服务器拥有证书后,我们要发挥证书的作用,把证书和Exchange服务关联起来。在Exchange服务器的EMC中右键点击证书
选择为证书分配服务:
选择要分配服务的Exchange服务器,我们需要把两台CAS服务器都选中,点击下一步:
这里我们勾选邮局协议、简单右键传输协议以及IIS,点击下一步:
点击分配:
向导提示要使用申请到的证书覆盖SMTP使用的自签名证书,点击“是”同意覆盖。
其实Exchange服务器安装完成后会安装一个自签名证书,这个证书是Exchange服务器自己颁发给自己的,因此客户机都不信任证书,使用起来不方便。因此我们才需要费点心思为Exchange服务器手工申请证书。
测试
打开IE浏览器使用OWA方式登陆我们的邮箱:
Ok、可以看到已经没有证书错误的提醒了!
实验成功。