架构如下
主域控:DCS-01 192.168.2.20
辅域控:DCS-02 192.168.2.21
证书服务器:CER-01 192.168.2.31
客户端访问服务器01: CAS-01 192.168.2.23 CAS Array:22
客户端访问服务器02: CAS-02 192.168.2.24
邮箱传输服务器01:HUB-01 192.168.2.25 NLB:27
邮箱传输服务器02:HUB-02 192.168.2.26
邮箱服务器01:MBX-01 192.168.2.28 DAG:30
邮箱服务器02:MBX-02 192.168.2.29
Exchange Server证书如果不配置的话,给客户端的体验会变差,WEB登录或outlook使用时都会影响用户的体验
如下图:
![wKiom1bAfhvBqEOBAAFiNB6qn84788.jpg]( "1web登录提示证书错误.jpg")
下面为Exchange CAS/HUB服务器配置企业内部的证书。
注:个人经验,不代表别人。在企业中,证书服务器最好是单独的一台机器。这样在以后的管理和系统升级或迁移时不用考虑过多的点,使操作能够方便一些。
过程分为如下几步
-
部署证书服务器
-
创建证书申请文件
-
申请证书
-
分配服务
一、部署证书服务器
1.1添加“角色”,选择“Active Directory证书服务”
![wKiom1bAfn2SJ4YYAAH-EtXSg2k360.jpg]( "2部署CA.jpg")
1.2证书服务简介图略。下一步如图选择
![wKioL1bAfu-yWtnOAAGjcQ2XygQ808.jpg]( "3.jpg")
1.3安装类型、CA类型、私钥、加密保持默认图略。配置CA名称如图
![wKioL1bAfy6xr4vfAAHXAGQK1pg846.jpg]( "4.jpg")
1.4设置有效期,默认为5年,微软产品周期一般为5年。此项默认即可
![wKioL1bAfz3wqK8KAAGHxKct9W0155.jpg]( "5.jpg")
1.5后面的选项保持默认值,最后提示“安装成功”
![wKioL1bAf2egJTl_AAHXiDUMhsY340.jpg]( "6.jpg")
二、创建证书申请文件
2.1打开Exchange控制台--服务器配置--新建Exchange证书
![wKioL1bAgGuDiatMAAKOo4dDHOI546.jpg]( "7.jpg")
2.2输入一个证书的名称,为了方便记忆,此名称和域名一致
![wKioL1bAgMWTkSPfAAC3VJ4tHkI887.jpg]( "8.jpg")
2.3不启用通配符证书(图略)。Exchange配置:如图勾选这二项就可以
![wKiom1bAgHSRlh8iAAHn8Kw8OL8801.jpg]( "9.jpg")
2.4选择域名列表,此处选择mail的选项。列表中自动列出所有的客户端访问角色,如下图中的CAS01、02
![wKioL1bAgOiif2IFAAEVPukBfNs152.jpg]( "10.jpg")
2.5“组织和位置”对话框中,设置使用者的相关信息,方便记忆随便填写即可,【浏览】把导出req的文件放在桌面,点击【下一步】-【新建】按钮。
![wKiom1bAgK2A3uCPAAGwGQ6Tui4910.jpg]( "11.jpg")
2.6导出成功
![wKioL1bAgSWQZv8TAAIY8Cvplrs382.jpg]( "12.jpg")
三、申请证书
3.1浏览器输入http://cert-01/certsrv,单击“申请证书”超链接(cer-01是证书服务器名)
![wKiom1bAgOqhKcvoAAKApo5SPeQ036.jpg]( "13.jpg")
3.2单击“高级证书申请”超链接
![wKiom1bAgQyQpZfBAAFlUZPvs_8084.jpg]( "14.jpg")
3.3单击“使用base64”超链接
![wKiom1bAgS7yPtsIAAHvU0AuUlw192.jpg]( "15.jpg")
3.4用记事本打开刚才导出到桌面上的request.req证书申请文件。全选复制里面的内容
![wKioL1bAga2BXEmEAAS_Wq3W1iA029.jpg]( "16.jpg")
3.5粘贴到“保存的申请”文本框中,“证书模板”选择“web服务器”,单击【提交】
![wKiom1bAgZHBH_ePAAKNrb6Vr2o842.jpg]( "17.jpg")
3.6单击“下载证书”超链接,单击【保存】将certnew.cer证书文件保存到桌面
![wKioL1bAgiXAi1siAAJFmFtjAsc656.jpg]( "18.jpg")
四、分配服务
4.1完成搁置请求
![wKiom1bAge_B3zh_AAIGMrk1aI8515.jpg]( "19.jpg")
4.2点击【浏览】选择刚才导出的certnew.cer证书文件
![wKioL1bAgnaRErwpAAEAdaA7nfw192.jpg]( "20.jpg")
4.3完成搁置请求
![wKiom1bAglfzaB8HAAEUoo8jyeY694.jpg]( "21完成搁置请求.jpg")
注:(1)如果出现证书无效错误,如下图所示
![wKiom1bAgnSzpJfJAADArfs0nx0675.jpg]( "21。1.jpg")
(2)出现上图中的错误,是该服务器还没有安装企业的证书,该证书在重启后自动安装,如果不想重启,打开cmd输入gpupdate /force。该证书就安装成功了。下图是运行命令后的显示。再重复上面的操作,即可完成搁置请求。
![wKiom1bAgoWS6zv5AAOZABZN7ns505.jpg]( "21。2.jpg")
4.4为证书分配服务
![wKioL1bAgyOxiZ46AADJbQoQj2o122.jpg]( "22分配服务.jpg")
4.5选择服务器
![wKioL1bAgzfwvME3AADimCs9iB8573.jpg]( "23.jpg")
4.6如图选择要分配的服务,由于此架构中CAS和HUB是分开部署的,SMTP服务在HUB上,在为HUB-01、02分配时,选中SMTP。(如果选中,会出现第二个图片的错误提示)
![wKiom1bAgvbimGKtAAD9fObXU6M683.jpg]( "25.jpg")
![wKioL1bAg2rTR0z4AADMsC8_a4Y482.jpg]( "26错误图示.jpg")
4.7确认覆盖
![wKioL1bAg4DjbmvyAAFsaAhSIAg373.jpg]( "27.jpg")
4.8导出上面新建的证书
![wKiom1bAhAPDFe18AAHNRQpsVro509.jpg]( "27.1.jpg")
4.9导入证书,用刚才导出的证书为CAS-02、HUB-01、HUB-02分配服务,下图为CAS-02导入,其它服务器步骤相同
![wKiom1bAhEnBWbYeAAM9RBhdjpU088.jpg]( "27.2.jpg")
4.10HUB-02服务分配成功
![wKiom1bAhIODbJ_qAADDiqTcSJY026.jpg]( "27.3.jpg")
4.11删除所有的自签名证书
![wKiom1bAhKazKUUwAAC5ZJcqwu0540.jpg]( "27.4.jpg")
4.12打开web登录测试
本文转自cix123 51CTO博客,原文链接:http://blog.51cto.com/zhaodongwei/1741972
,如需转载请自行联系原作者
