配置 SSL 证书使用多个客户端访问服务器主机名称

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-07-23

可以使用命令行管理程序将安全套接字层 (SSL) 证书配置为使用多个主机名称。

当您部署 Microsoft Exchange Server 2010 客户端访问服务器时,必须确保所有的客户端(如 Microsoft Office Outlook Web App 和 Office Outlook 2007)都能够使用加密的会话连接到服务,而不会接收到说明证书不受信任的错误消息。

通过使用命令行管理程序,可以创建证书请求以包含所有客户端访问服务器的 DNS 主机名。然后,用户即可连接到在备选名称属性中列出的服务(如 Outlook Anywhere、Autodiscover、POP3 和 IMAP4 或统一消息)的证书。例如,用户可以通过指定名称连接到 Exchange 服务,如以下示例所示:

  • https://CAS01/owa

  • https://CAS01.FQDN.name/owa

  • https://CASIntranetName/owa

  • https://autodiscover.emaildomain.com

除了需要多个证书并为每个 IP 端口和证书绑定维护多个 IP 地址的配置和 Internet Information Services (IIS) 网站外,可以创建单一证书,使客户端能够使用 SSL 或传输层安全 (TLS) 成功连接到每个主机名称。

可以通过在证书请求上的证书“Subject Alternative Name”属性添加所有可能的 DNS 名称值创建单一证书。基于 Windows 的证书服务证书颁发机构应为这样的请求创建一个证书。

注释注意:
第三方证书颁发结构或基于 Internet 的证书颁发结构将只对授权给您使用的 DNS 名称颁发证书。因此,可能不允许使用 Intranet DNS 名称。

若要配置 SSL 证书使用多个客户端访问服务器主机名称,请执行下列操作:

  1. 使用 New-ExchangeCertificate cmdlet 创建证书请求文件。

  2. 将此文件发送到 Windows 证书服务证书颁发机构,并使用在“证书颁发机构”页上的“Web 服务器”模板。这样会生成一个 .cer 文件,可导入客户端访问服务器。

  3. 使用 Get-ExchangeCertificate cmdlet 决定证书的指纹。

  4. 导入证书后,可以使用 Enable-ExchangeCertificate cmdlet 将其分配给 IIS、IMAP4 和 POP3。

若要了解与 SSL 相关的其他管理任务,请查看管理客户端访问服务器的 SSL

先决条件

  • 使用不属于 Administrators 组的帐户登录到计算机,然后使用 runas 命令,以管理员身份运行 IIS 管理器。这是最安全的做法。为此,请在命令提示符处键入 **runas /user:**Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc"

  • 已阅读Exchange 2010 中的 TLS 功能以及相关术语。其中包含有关为 SSL 或 TLS 服务配置证书时必须考虑的许多变量的信息,以及有关这些变量如何影响整体配置的信息。

使用命令行管理程序创建证书请求文件

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

该示例将创建一个文本文件,其中包含 PKCS#10 格式的证书请求。

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

使用命令行管理程序导入证书

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

此示例导入以前获取的证书。

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

使用命令行管理程序确定证书指纹

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

此示例确定与 CAS01 主机名匹配的证书指纹。

Get-ExchangeCertificate -DomainName "CAS01"
注释注意:
如果存在若干个证书与指定的主机名称匹配,该示例将返回多个证书。因此,请确保选择的是所请求的正确证书的指纹。

使用命令行管理程序将证书分配给 IIS、POP3 和 IMAP4

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“客户端访问服务器安全设置”条目。

本示例将证书分配给 IIS、POP3 和 IMAP4。

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

本示例将证书分配给服务器,然后该服务器再将证书分配给 Exchange 服务器上正在运行的所有服务。

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

有关 Import-ExchangeCertificateEnable-ExchangeCertificateGet-ExchangeCertificateNew-ExchangeCertificate cmdlet 的语法和参数的详细信息,请参阅全局 Cmdlet

 © 2010 Microsoft Corporation。保留所有权利。