加密和证书对每个企业都是十分重要的。默认情况下,Exchange 服务器会使用TLS加密服务器内部各个服务直接的通信。所以Exchange服务器安装完成后会生成好几个证书,每个证书用途不一样。第一次安装Exchange后会生成如下几个证书:
1)、Microsoft Exchange 该证书为Exchange服务器的自签名证书,主要用户Exchange服务器之间的认证通信,每台服务器会生成一个独立的自签名证书。
2)、Microsoft Exchange Server Auth Certificate 该证书也为Exchange自签名证书,但是一个组织中的Exchange服务器使用同一张证书,此证书主要用于服务器到服务器的认证【例如:联合身份验证】,以及使用OAut验证的集成应用。【比如:Exchange与Skype For business和SharePoint的集成】。
3)、WMSVC 该证书WIndows server的自签名证书,主要用于IIS中的远程管理,每台Exchange 服务器的IIS都会生成一个独立的自签名证书。【例如:使用Exchange Powershell远程连接服务器】
Microsoft Exchange 证书更新很简单,只需要在每台Exchange服务器上使用命令New-ExchangeCertificate -server ServerName即可生成一个自签名证书。
下面主要介绍一下Microsoft Exchange Server Auth Certificate证书丢失或者过期后如何手动创建该证书。【如下操作适用于Exchange 2013/2016】
1、打开Exchange Powershell。
2、在任意一台Exchange服务器上使用如下命令创建证书。New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "CN= Microsoft Exchange Server Auth Certificate" -DomainName "*.DOMAINNAME.COM" -FriendlyName "Microsoft Exchange Server Auth Certificate" -Services SMTP
命令执行完成后,选择N,将证书Thumbprint指纹复制下来,接下来的命令会使用到
3、使用命令为OAuth认证配置应用新证书。
$date = Get-Date
Set-AuthConfig -NewCertificateThumbprint certificate_thumbprint –NewCertificateEffectiveDate $date 选择YES。
4、使用命令发布新证书。
Set-AuthConfig –PublishCertificate如果服务器上存在旧的证书,可以使用如下命令将旧证书进行清除。
Set-AuthConfig -ClearPreviousCertificate
5、证书配置完成后,需要在所有的CAS和Mailbox角色服务器上执行IISRESET命令重启IIS。
原文地址:http://blog.51cto.com/jialt/2351633