Share via

完成擱置 Exchange Server 憑證要求

  • 發行項

完成擱置的憑證要求 (也稱為憑證簽署要求或 CSR) ,是在 Exchange Server 中設定傳輸層安全性 (TLS) 加密的下一個步驟。 從證書頒發機構單位 (CA) 收到憑證之後,您可以在 Exchange 伺服器上安裝憑證,以完成擱置的憑證要求。

您可以在 Exchange 系統管理中心 (EAC) 或 Exchange 管理命令介面中完成擱置的憑證要求。 這些程式與完成新的憑證要求或憑證更新要求的程式相同。 這些程式也與內部 CA (所簽發的憑證相同,例如 Active Directory 憑證服務) 或商業 CA。

您可能會收到下列一或多個類型的憑證檔案 CA:

  • PKCS #12 憑證檔案:這些是具有 .cer、.crt、.der、.p12 或 .pfx 擴展名的二進位憑證檔案,而且當檔案包含私鑰或信任鏈結時需要密碼。 CA 可能只會發出一個您需要安裝的二進位憑證檔案 (受到密碼) 保護,或是您也需要安裝的多個根或中繼二進位憑證檔案。

  • PKCS #7 憑證檔案:這些是擴展名為 .p7b 或 .p7c 的文本憑證檔案。 這些檔案包含文字: -----BEGIN CERTIFICATE----- 和 或 -----END CERTIFICATE----------BEGIN PKCS7----- 與或與 -----END PKCS7-----。 如果 CA 包含憑證檔案鏈結與您的二進位憑證檔案,您也需要安裝憑證檔案鏈結。

注意事項

憑證管理工作會從 EAC 中移除,適用於 Exchange Server 2016 CU23 和 Exchange Server 2019 CU12。 使用 Exchange 管理命令介面程式從這些版本匯出/匯入憑證。

開始之前有哪些須知?

  • 預估完成時間:5 分鐘。

  • 本主題中的程式會要求您在 Exchange 伺服器上建立新的憑證要求、將憑證要求傳送至 CA,以及從 CA 接收憑證。 如需詳細資訊,請參閱 Create 證書頒發機構單位的 Exchange Server 憑證要求

  • 在 EAC 中,您需要從 UNC 路徑擷取憑證檔案 (\\<Server>\<Share>\\<LocalServerName>\c$\) 。 在 Exchange 管理命令介面中,您可以使用本機檔案路徑。

  • 如果您在已訂閱的 Edge Transport Server 上更新或取代由 CA 所發出的憑證,您就必須移除舊憑證,然後先刪除再重新建立 Edge 訂閱。 如需詳細資訊,請參閱<Edge 訂閱程序>。

  • 若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 用戶端和行動裝置 許可權主題中的專案。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection

使用 EAC 建立完成擱置的憑證要求

  1. 開啟EAC並流覽至 [伺服器憑證>]

  2. 在 [ 選取伺服器] 清單中,選取保留擱置憑證要求的 Exchange 伺服器。

  3. 擱置中的憑證要求具有下列屬性:

    • 在憑證清單中, [狀態] 字 段的值為 [擱置要求]

    • 當您從清單中選取憑證要求時,詳細數據窗格中有 [ 完整 ] 連結。

    選取您要完成的擱置憑證要求,然後按下詳細數據窗格中的 [ 完成 ]。

  4. 在開啟的 [ 完成擱置要求 ] 頁面上,於 [ 要從中匯入的檔案 ] 欄位中,輸入憑證檔案的 UNC 路徑和檔名。 例如,\\FileServer01\Data\ContosoCert.cer。 完成後,按一下 [確定]

憑證要求會成為 Exchange 憑證清單中 狀態值為[有效] 的憑證。 如需後續步驟,請參閱後續步驟一節。

使用 Exchange 管理命令介面來完成擱置的憑證要求

若要完成擱置的憑證要求,請使用下列語法:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

您可以使用此語法搭配下列類型的憑證檔案:

  • 二進位憑證檔案 (擴展名為 .cer、.crt、.der、.p12 或 .pfx 擴展名的 PKCS #12 檔案) 。
  • 憑證檔案鏈結 (擴展名為 .p7b 或 .p7c 的 PKCS #7 文本檔) 。

此範例會匯入本機 Exchange 伺服器上受保護的二進位憑證檔案 \\FileServer01\Data\Contoso Cert.cer 。 系統會提示您輸入密碼。

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)

此範例會匯入本機 Exchange 伺服器上的文本憑證檔案 \\FileServer01\Data\Chain of Certificates.p7b

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

注意:

  • 如果憑證檔案位於您執行命令的 Exchange 伺服器上,且這是您要匯入憑證的相同伺服器, 則 FileData 參數會接受本機路徑。 否則,請使用 UNC 路徑。
  • 如果您要能夠從匯入憑證的伺服器匯出憑證,您需要使用 PrivateKeyExportable 參數搭配值 $true
  • 如需詳細資訊,請參閱Import-ExchangeCertificate

如何知道這是否正常運作?

若要確認您已成功完成憑證要求,並在 Exchange Server 上安裝憑證,請使用下列其中一個程式:

  • 在 [伺服器證書] 的 EAC >,確認已選取您安裝憑證的伺服器。 In the list of certificates, verify that the certificate has Status property value Valid.

  • 在您安裝憑證之伺服器上的 Exchange 管理命令介面中,執行下列命令,並確認憑證已列出:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

後續步驟

在伺服器上安裝憑證來完成擱置的憑證要求之後,您必須先將憑證指派給一或多個 Exchange 服務,Exchange 伺服器才能使用憑證進行加密。 如需詳細資訊, 請參閱將憑證指派給 Exchange 服務