Exchange Server 2010 安装并配置证书服务器

为 Exchange Server 2010 安装并配置证书服务器

证书服务是配置exchange server 2010 必不可少的一项，也是困扰我许久的一个知识点；今天在这里梳理下，如有不妥之处请大家指点：

安装活动目录证书颁发机构可以为 Exchange Server 2010 提供公钥基础架构，可以为 Exchange 服务器颁发证书，用于 Exchange 服务器客户端访问及邮件传输的加密

在 DC 01 上：
1、 打开 开始 菜单，点击 管理工具 ，然后点击 服务器管理
2、 在服务器 管理中，点击 角色
3、 在角色控制面板中，选择 添加角色
4、 在弹出的添加角色向导页面，点击 下一步
5、 在选择服务器角色 页面，选择 Active Directory证书服务 ，并点击 下一步
***首先为当前环境部署 AD 证书服务，通过 AD 证书服务才能够为exchange 服务器颁 发证书，实现客户端访问及邮件传输加密。如果不安装 Windows Server 2008 内置 的证书服务，也可以向 Internet 证书颁发机构申请购买用于 Exchange服务器。
6、 在 Active Directory 证书服务简介 页面，选择 下一步
7、 在选择角色服务 页面，确认 证书颁发机构 已经勾选 ，并且证书颁发机构 Web 注册可以实现基于 Web 页面的证书申请流程
8、 在弹出的 添加角色向导 页面，选择 添加所需的角色服务 ，并点击 下一步
*** 证书颁发机构 Web 注册需要 Internet信息服务的支持，在 Server 2008 R2添加角色过程中，添加角色向导会根据添加的角色自动找到所需相关服务如证书颁发机构 Web 注册需要 IIS 服务 。
9、 在指定安装类型 页面，选择 企业（ E），并点击 下一步
10、 在指定 CA 类型 页面，选择 根 CA （R），并点击 下一步
11、 在设置私钥 页面，选择 新建私钥 ，并点击 下一步
12、 在为 CA 配置加密 配置加密 页面，点击 下一步
13、 在配置 CA 名称 页面， 将 CA 的公用名称改 为 Contoso Enterprise Root CA ，点击 下一步
14、 在设置有效期 页面，保持证书选择有效期为 5年，点击 下一步
15、 在配置证书数据库 页面，点击 下一步
*** 在生产环境中，建议将证书的数据库及日志位置设非系统 分区磁盘阵列上面，以便于数据的备份和灾难恢复
16、 在 Web 服务器（ IIS ）页面，点击 页面，点击 下一步
***角色添加向导会自动将所需服务的过程入到当前安装中
17、 在选择角色服务 页面，点击 下一步
18、 在确认安装选择 页面，核对之前所配置及选择的信息是否正确在实准无误后点 页面，点 击安装 ，开始 IIS 、远程服务器管理工具 及 AD 证书服务的安装 证书服务的安装
19、 在安装结果 页面，点击 关闭 ，并 重新启动 DC 01虚拟计算机

为 Exchange Server 2010 服务器申请证书

在此任务中，您将通过 在此任务中，您将通过 Exchange Server 2010 的管理控制台为Exchange服务器创建证书申请，并且通过Web 的方式完成向证书颁发机构申请过程，通过Exchange 管理控制台可以实现证书申请的图形化界面操作，简了任务操作
在EX01 上
1、 打开 开始 菜单，点击 所有程序 ，在 Exchange Server 2010中选择 中选择 Exchange Management Console
2、 在 Exchange管理控制台 中， 展开 Microsoft Exchange的内部部署 ，在弹出的 Exchange 2010 服务器许可中，点击确定
3、 点击 服务器配置，在 Exchange证书 窗口中，查看当前已有一张自签名的Microsoft Exchange证书
Exchange Server 2010 的安装过程中，会自动为Exchange服务器创建一张自签名的证书， 以用于客户端访问及邮件传输的加密，但因为该证书为服务器自签名证书，默认不被客户端及其他服务器所信任，因此在完成Exchange Server 2010的安装后,需要为服务器申请一张证书替换默认的自签名。
4、 在控制台右侧的 操作 窗口中，选择 新建 Exchange证书
5、 在新建 Exchange证书 页面，输入证书的友好名称（E）中，输入 Exchange2010CA,并点 击下一步
? 证书的友好名称可以根据需要自行设定
6、 在域 作用页面中，确认没有勾选启用通配符证书（ E），点击 下一步
? 因为本实验环境单域结构，没有子且其他特殊需求,因此无需为服务器申请通配符证书。
7、 在 Exchange配置页面，展开客户端访问服务器（Outlook Web App ）， 选中 Outlook Web App 已连接到Intranet，在用于内部访问 Outlook Web App 的域名，输入EX01 .contoso.com
选中 Outlook Web App Outlook已连接到Internet，在用于访问Outlook Web App 的域名中，输入
8、 展开客户端访问服务器（Exchange ActiveSync ）， 选中已启用 Exchange 活动同步，在用户访问Exchange ActiveSync的域名中，输入 9、 展开客户端访问服务器（Web服务、Outlook Anywhere Outlook和自动发现），确认选中已启用 Exchange Web 服务 、已启用 Outlook Anywhere ，在 组织的外部主机名 输入 ，在Internet上使用的自动发现设置为长URL，要使用的自动发现 URL 设置为 ;
可以展开其他服务器证书配置选项，如集线传输、旧版本Exchange服务器等，为集线器传输服务、旧版本Exchange服务器或者统一消息设置证书
10、 点击 下一步 ，进入证书域页面
11、 在证书域 页面，确认证书的域列表中包含 ;ex2010a.contoso和，点击 下一步
12、 在组织和位置 页面，依下表输入


13. 在证书请求文件路径中，选择浏览，选择桌面，将证书请求文件保存在桌面，输入名为 CARequest，点击保存
14. 点击 下一步 进入 证书配置 页面
15. 查看证书的配置是否与之前设相同，如无问题选择 新建
16. 点击 完成 ，完成证书申请文件的创建。
? 证书申请文件的创建完成，接下来需要将申请文件发送给颁机构，以申请证书，因为之前安装了证颁发机构 Web注册，因此可以通过 IE 浏览器的方式完成 证书的注册
17. 打开 开始 菜单，选择 所有程序 ，打开 Internet Explorer
18. 在 IE 浏览器中地址栏，输入 http://DC01 .contoso.com/certsrv
19. 在弹出的 Windows安全对话框中，输入用户名 administrator ，密码 P@ssw0rd
20. 在弹出的安全警告中，点击 添加 ，将http:// ;添加到可信站点中
21. 进入 AD 证书 Web 申请 页面，选择 申请证书
22. 选择 高级证书申请
23. 选择 使用 base64 编码的 CMC或 PKCS#10文件提交一个证书申请，或使用 base64 编码 的 PKCS#7文件续订证书申请
24. 找到桌面上之前创建的证书申请文件 carequest.，使用 记事本 打开该文件
25. 选中如下图所示的内容，并 复制 所选中的内容


26. 在 IE 浏览器 提交一个证书申请 或续订页面，将复制的内容 粘贴 到 Base -64 编码的证书申请（ CMC 或 PKCS#10 或 PKCS#7）中，并在证书模板选择 中，选择 Web 服务器 ，点击 提交
27. 证书会自动颁发，选择 下载证书 ，将证书 certnew.cer 保存 到桌面，关闭 IE 浏览器。
? Exchange证书的Web 申请完成，因为此证书是向之前搭建的 WS2008R2DC 证书颁发机构所申请的，该证书颁默认是不被其他服务器信任因此需要将证书颁发机构导入到Exchange服务器的受信任根证书颁发机构
28. 打开 IE 浏览器，在地址栏中输入http:// DC01 .contoso.com/certsrv，使用户名administrator，密码 P@ssw0rd登录
29. 选择 下载 CA 证书链或 CRL
30. 选择 下载 CA 证书 ，将 CA 证书 保存 到桌面，命名为CA.cer
31. 打开 开始 菜单，选择 运行 ，输入 MMC
32. 在控制台中，选择 在控制台中，选择 文件 ，添加 /删除管理单元，并将 证书 添加到所选管理单元，选择 计算机账户 ，点击 下一步 ，选择 本地计算机（运行此控制台的）点击 完成 ，点击 确定
33. 展开 证书（本地计算机-- 受信任的根证书颁发机构—证书 ，右键证书 ，选择 所有任务 —导入
34. 在欢迎使用证书导入向页面，点击下一步
35. 在要导入的文件页面，选择 浏览 ，并选择桌面的 ca.cer 文件，点击 下一步
36. 在证书存储页面，点击 下一步 ，并点击 完成 ，将 DC01 加入到Exchange服务器的受信任的受信任的根证书颁发机构，关闭控制台
37. 打开 Exchange管理控制台，在 服务器配置界面，Exchange证书中，右键点击Exchange2010CA证书 ，选择 完成搁置请求 。
38. 在完成搁置请求页面，选择浏览 ，打开桌面上的certnew.cer文件，点击 完成 ，完成 Exchange服务器证书的申请及导入操作
39. 在 Exchange证书 页面，确认 Exchange2010ca证书 已经变更为不是自签名证书

为客户端访问分配证书

在此任务中，将为客户端访问分配之前申请的证书对Exchange Server 2010的 各种方式访问均通过证书加密完成，保数据传输的安全性。
在 EX01 上
1. 在Exchange管理控制台服务器配置页面中，右键点击之前申请和导入的证书 Exchange2010CA ，选择 为证书分配服务
2. 在将服务分配到证书页面中，确认已经添加了服务器 EX01 ，点击 下一步
3. 在选择服务 页面中 ，选简单邮件传输协议和Internet信息服务，并点击 下一步
? 当前仅对 SMTP 和 IIS 服务分配了证书，可以根据实际情况，为邮局协议（POP3）、Internet邮件访问协议（ IMAP4 ）或统一消息服务分配证书
4. 在分配服务 页面，点击分配 ，在弹出的确认框中选择 是 ，使申请的证书 覆盖默认
5. 点击 完成 ，从而完成服务的证书分配
6. 以用户 contoso\administrator，密码 P@ssw0rd登录到虚拟机 DC01
7. 点击 开始 菜单，选择 管理工具 ，选择 DNS
8. 在 DNS 管理器 中，展开 DC01 —正向查找区域 —contoso.com ，右键点击 contoso.com 区域，选择 新建别名（CNAME ）
9. 在新建资源记录中，设置别名为 mail ，在 目标主机的完全合格域名（FQDN）选择 浏览，进入 DC01 —正向查找区域 —contoso.com ，选中 Ex01，点击 确定 。为Ex01 .contoso.com 创建一条别名记录
? 为EX01 .contoso.com创建别名记录 是为了便于客户端对 Exchange服务器访问，客户端对Exchange进行访问均连接 即可
10. 以用户contocontoso\administrator，密码 P@ssw0rd登录到虚拟机 EX01
11. 点击 开始 菜单，选择 管理工具 ，选择 Internet信息服务（ IIS ）管理器
12. 在 IIS 管理器 管理器 中，点击EX01 ，展开 网站 —Default Web Site
13. 在页面中间 功能视图 中，选择 HTTP重定向
14. 在 HTTP 重定向页面中 ，选将请求重定向到此目标 ，并输入https:// ，并且选中将所有请求重定向到确切的目标（而不是相 对于目标）、仅将请求重定向到此目录（非子目录）中的内容，在右侧操作窗格中选择 应用
15. 打开虚拟机 Windows 7 ，默认会admin用户登录
16. 在虚拟机 Windows7中，打开 IE 浏览器 ，在地址栏输入http://， 以用户contoso\administrator 和密码 P@ssw0rd 登录
17. 选择 下载 CA 证书链或 CRL
18. 选择 下载 CA 证书 ，将证书 certnew.cer 保存至桌面
19. 双击 桌面上的证书 certnew.cer ，选择 安装证书 ，点击 下一步 ，选择 将所有的证书放入 下列存储 ，浏览找到受信任的根证书颁发机构 ，点击 确定 ，点击 下一步 ，点击 完成 ，在弹出窗口中选择 是
? 将证书颁发机 构导入到虚拟Windows7 的受信任根证书颁发机构，以使客户端能够正常访问Exchange服务器
20. 打开 IE 浏览器 浏览器 ，在地址栏输入https:// ，准备登录Exchange服务器的OWA页面

本文出自 “liwenjia'blog” 博客，请务必保留此出处http://liwenjia.blog.51cto.com/2656598/1705760