架构如下

主域控：DCS-01                192.168.2.20

辅域控：DCS-02                192.168.2.21

证书服务器：CER-01            192.168.2.31

客户端访问服务器01:  CAS-01   192.168.2.23  CAS Array：22

客户端访问服务器02:  CAS-02   192.168.2.24

邮箱传输服务器01：HUB-01      192.168.2.25  NLB：27

邮箱传输服务器02：HUB-02      192.168.2.26

邮箱服务器01：MBX-01          192.168.2.28  DAG：30

邮箱服务器02：MBX-02          192.168.2.29

Exchange Server证书如果不配置的话，给客户端的体验会变差，WEB登录或outlook使用时都会影响用户的体验

如下图：

 

下面为Exchange CAS/HUB服务器配置企业内部的证书。

注：个人经验，不代表别人。在企业中，证书服务器最好是单独的一台机器。这样在以后的管理和系统升级或迁移时不用考虑过多的点，使操作能够方便一些。

过程分为如下几步

• 部署证书服务器

• 创建证书申请文件

• 申请证书

• 分配服务

一、部署证书服务器

1.1添加“角色”，选择“Active Directory证书服务”

 

1.2证书服务简介图略。下一步如图选择

1.3安装类型、CA类型、私钥、加密保持默认图略。配置CA名称如图

 

1.4设置有效期，默认为5年，微软产品周期一般为5年。此项默认即可

 

1.5后面的选项保持默认值，最后提示“安装成功”

 

二、创建证书申请文件

2.1打开Exchange控制台--服务器配置--新建Exchange证书

2.2输入一个证书的名称，为了方便记忆，此名称和域名一致

2.3不启用通配符证书（图略）。Exchange配置:如图勾选这二项就可以

 

2.4选择域名列表，此处选择mail的选项。列表中自动列出所有的客户端访问角色，如下图中的CAS01、02

2.5“组织和位置”对话框中，设置使用者的相关信息，方便记忆随便填写即可，【浏览】把导出req的文件放在桌面，点击【下一步】-【新建】按钮。

 

2.6导出成功

三、申请证书

3.1浏览器输入http://cert-01/certsrv，单击“申请证书”超链接（cer-01是证书服务器名）

3.2单击“高级证书申请”超链接

3.3单击“使用base64”超链接

 

3.4用记事本打开刚才导出到桌面上的request.req证书申请文件。全选复制里面的内容

3.5粘贴到“保存的申请”文本框中，“证书模板”选择“web服务器”，单击【提交】

3.6单击“下载证书”超链接，单击【保存】将certnew.cer证书文件保存到桌面

 

四、分配服务

4.1完成搁置请求

4.2点击【浏览】选择刚才导出的certnew.cer证书文件

 

4.3完成搁置请求

注:（1）如果出现证书无效错误，如下图所示

（2）出现上图中的错误，是该服务器还没有安装企业的证书，该证书在重启后自动安装，如果不想重启，打开cmd输入gpupdate /force。该证书就安装成功了。下图是运行命令后的显示。再重复上面的操作，即可完成搁置请求。

 

4.4为证书分配服务

 

4.5选择服务器

4.6如图选择要分配的服务，由于此架构中CAS和HUB是分开部署的，SMTP服务在HUB上，在为HUB-01、02分配时，选中SMTP。（如果选中，会出现第二个图片的错误提示）

 

4.7确认覆盖

 

4.8导出上面新建的证书

 

4.9导入证书，用刚才导出的证书为CAS-02、HUB-01、HUB-02分配服务，下图为CAS-02导入，其它服务器步骤相同

 

4.10HUB-02服务分配成功

 

4.11删除所有的自签名证书

 

4.12打开web登录测试