将证书分配给 Exchange Server 服务
在 Exchange 服务器上安装证书后,需要先将证书分配给一个或多个 Exchange 服务,然后 Exchange 服务器才能使用该证书进行加密。 可以在 Exchange 管理中心 (EAC) 或 Exchange 命令行管理程序中将证书分配给服务。 一旦您将证书分配给服务,就不能删除该分配。 如果不再希望将证书用于特定服务,您需要将另一个证书分配给该服务,然后删除您不想使用的证书。
下表介绍了可用的 Exchange 服务。
| 服务 | 使用 |
|---|---|
| IIS | 用于使用 HTTP 的内部和外部客户端连接的 TLS 加密。 这包括: 自动发现 Exchange ActiveSync Exchange 管理中心 Exchange Web 服务 脱机通讯簿 (OAB) 分发 Outlook 无处不在(HTTP 上的 RPC) Outlook(HTTP 上的 MAPI) Outlook 网页版 |
| IMAP | IMAP4 客户端连接的 TLS 加密。 请勿将通配符证书分配到 IMAP4 服务。 请改用 Set-ImapSettings cmdlet 配置完全限定的域名 (FQDN) 客户端用于连接到 IMAP4 服务。 |
| 流行 | POP3 客户端连接的 TLS 加密。 请勿将通配符证书分配到 POP3 服务。 请改用 Set-PopSettings cmdlet 来配置客户端用来连接到 POP3 服务的 FQDN。 |
| SMTP | 用于外部 SMTP 客户端和服务器连接的 TLS 加密。 Exchange 与其他消息服务器之间的相互 TLS 身份验证。 将证书分配给 SMTP 时,系统会提示你替换用于加密内部 Exchange 服务器之间的 SMTP 通信的默认 Exchange 自签名证书。 通常,不需要替换默认 SMTP 证书。 |
| 统一消息 (UM) | 用于与 Exchange 2016 邮箱服务器上的后端 UM 服务的客户端连接的 TLS 加密。 当将服务的 UM 启动模式属性设置为 TLS 或 Dual 时,您只能将证书分配到 UM 服务。 如果将 UM 启动模式设置为默认值 TCP,您将无法将证书分配到 UM 服务。 (注意:UM 在 Exchange 2019) 中不可用。 有关详细信息,请参阅Configure the Startup Mode on a Mailbox Server。 |
| 统一消息呼叫路由器 (UMCallRouter) | 用于与 Exchange 2016 邮箱服务器上的客户端访问服务中的 UM 呼叫路由器服务的客户端连接的 TLS 加密。 当将服务的 UM 启动模式属性设置为 TLS 或 Dual 时,您只能将证书分配到 UM 呼叫路由器服务。 如果将 UM 启动模式设置为默认值 TCP,您将无法将证书分配到 UM 呼叫路由器服务。 (注意:UM 在 Exchange 2019) 中不可用。 有关详细信息,请参阅Configure the Startup Mode on a Client Access Server。 |
在开始之前,您需要知道什么?
估计完成时间:5 分钟。
执行本主题中的过程后,可能需要重启 Internet Information Services (IIS) 。 在某些情况下,Exchange 可能会继续使用以前的证书来加密和解密用于 Outlook 网页版的 cookie (以前称为 Outlook Web App) 身份验证。 建议在使用第 4 层负载均衡的环境中重启 IIS。
如果续订或替换由订阅的边缘传输服务器上的 CA 颁发的证书,则需要删除旧证书,然后删除并重新创建边缘订阅。 有关详细信息,请参阅边缘订阅进程。
若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell。
您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 客户端和移动设备权限主题中的"客户端访问服务安全"条目。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 请在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange Server、Exchange Online 或 Exchange Online Protection。
使用 EAC 将证书分配给 Exchange 服务
打开 EAC,并导航到 “服务器>证书”。
在 “选择服务器” 列表中,选择保存证书的 Exchange 服务器。
选择要配置的证书,然后单击“编辑”
证书的“状态”值需为“有效”。在“服务”选项卡上,在“指定要向其分配此证书的服务”部分中,选择服务。 请记住,您可以添加服务,但不能删除它们。 完成后,单击“保存”。
使用 Exchange 命令行管理程序将证书分配给 Exchange 服务
若要将证书分配给 Exchange 服务,请使用以下语法:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
此示例将具有指纹值的 434AC224C8459924B26521298CE8834C514856AB 证书分配给 POP、IMAP、IIS 和 SMTP 服务。
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
您可以使用 Get-ExchangeCertificate cmdlet 查找证书指纹值。
如何知道操作成功?
若要验证是否已成功将证书分配给一个或多个 Exchange 服务,请使用以下任一过程:
在 “服务器>证书”处的 EAC 中,验证是否已选择安装证书的服务器。 选择证书,然后在详细信息窗格中,验证“分配到服务属性”中是否包含您已选择的服务。
在安装了证书的服务器上的 Exchange 命令行管理程序中,运行以下命令来验证证书的 Exchange 服务:
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services