在Exchange Server 2007/2010安装时,安装程序会自动为Exchange服务器颁发一个自签名证书,这张证书将用于Exchange组织内部的服务器通讯。而对于Exchange的客户端,例如Outlook/OWA等,由于证书信任的关系,并不会接受这种自签名证书。因此需要为Exchange的客户端访问服务器专门颁发正式的服务器证书,才能保证客户端通过加密方式进行连接。
另外一个需要考虑的问题是客户端连接的服务器接入点(Service Connection Point),对于不同类型的客户端,可能需要使用不同的SCP。例如:OWA客户端希望使用owa.contoso.com连接;而Outlook Anywhere的客户端希望使用outlook.contoso.com;POP客户端希望使用pop.contoso.com。前面提到,服务器上使用的证书名称必须和客户端连接时指定的服务器名称相同,否则客户端会弹出证书安全性警告。这时就需要使用到多主机名称证书(Subject Alternative Name,SAN)了。
以下是一个多主机名称证书的示例,可以看到,该证书有多个名称:cas2,cas2.pcoe.com,exchallinone,exchallinone.pcoe.com,autodiscover.pcoe.com以及pcoe.com等。
在Exchange Server 2007时,如果需要为服务器分配一个多主机名称证书,需要使用命令行工具进行。在Exchange Server 2010中,新增了通过图形界面进行证书申请的功能。这个功能分为4个部分来实现一个完整的证书申请。
1、指定证书中包含的主机名称,创建证书申请文件;
2、向证书颁发机构提交证书申请并获取证书;
3、在Exchange中导入获得的证书;
4、为Exchange的服务指定证书,或者可以称为:将证书绑定到Exchange的服务上。
创建证书申请
1、在Exchange Management Console左边的导航栏中,点击“服务器配置”
2、在中间结果栏中,点击选择需要分配证书的服务器
3、在右边的操作栏中,点击“新建服务器证书”,这将启动服务器证书向导。
4、在证书向导中
A 输入一个好记的名称,例如:Exchange CAS Server。点击下一步
B 不要启用通配符证书,直接点击下一步
C 选择需要使用证书的服务,为每个服务接入点指定名称
D 检查即将使用的证书名称,并指定证书的通用名。通用名称十分关键。首先,通用名称将作为证书的主要名称来使用;其次,如果在Outlook Anywhere中选择指定服务器证书,那么在Outlook中指定的服务器名必须与证书的主要名称相同。
Outlook中的配置信息:
需要在申请证书时指定的证书通用名称:
输入组织信息,并指定保存证书申请文件的路径
完成向导,这时,在指定位置就会产生一个纯文本的证书申请文件。
相关阅读:
Latest posts by Exchange中文站 (see all)
- 微软将推出卫星解决方案:可连接到 Azure 云服务 - 2020年9月17日
- Windows Terminal 1.0正式发布 - 2020年5月25日
- Azure Lighthouse 相关介绍 - 2020年3月2日
发布于:
浏览:7554 次
还没有评论