共用方式為


在 Exchange 伺服器上匯入或安裝憑證

若要啟用一或多個 Exchange 服務的加密,Exchange 伺服器必須使用憑證。 內部 Exchange 伺服器之間的 SMTP 通訊會以安裝在 Exchange Server 上的預設自我簽署憑證加密。 若要加密與內部或外部用戶端、伺服器或服務的通訊,您可能會想要使用連線到 Exchange 組織的所有客戶端、服務和伺服器自動信任的憑證。 如需詳細資訊,請參閱<Exchange 服務的憑證需求>。

您可以在 Exchange 系統管理中心 (EAC) 或 Exchange 管理命令介面中,匯入 (在 Exchange 伺服器上安裝) 憑證。

以下是您可以在 Exchange 伺服器上匯入的憑證檔案類型:

  • PKCS #12 憑證檔案:這些是具有 .cer、.crt、.der、.p12 或 .pfx 擴展名的二進位憑證檔案,而且當檔案包含私鑰或信任鏈結時需要密碼。 這類檔案的範例包括:

    • 使用EAC或 Export-ExchangeCertificate 搭配 PrivateKeyExportable 參數值 $true從其他 Exchange 伺服器導出的自我簽署憑證。 如需詳細資訊,請參閱Export a certificate from an Exchange server

    • 證書頒發機構單位發行的憑證 (內部 CA,例如 Active Directory 憑證服務或商業 CA) 。

    • 從其他伺服器導出的憑證 (例如商務用 Skype Server) 。

  • PKCS #7 憑證檔案:這些是擴展名為 .p7b 或 .p7c 的文本憑證檔案。 這些檔案包含文字: -----BEGIN CERTIFICATE----- 和 或 -----END CERTIFICATE----------BEGIN PKCS7----- 與或與 -----END PKCS7-----。 憑證授權單位可能會包含一系列憑證檔案,必須與實際的二進位憑證檔案一同安裝。

注意事項

憑證管理工作會從 Exchange Server 2016 CU23 和 Exchange Server 2019 CU12 的 EAC 中移除。 使用 Exchange 管理命令介面程式從這些版本匯出/匯入憑證。

開始之前有哪些須知?

  • 預估完成時間:5 分鐘。

  • 在 EAC 中,您必須從 UNC 路徑匯入憑證檔案 (\\<Server>\<Share>\\\<LocalServerName>\c$\) 。 在 Exchange 管理命令介面中,您可以指定本機路徑。

  • 在 EAC 中,您可以在程式) 中同時匯入多個 Exchange 伺服器上的憑證檔案 (步驟 4。

  • 若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 用戶端和行動裝置 許可權主題中的專案。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection

使用EAC在一或多部 Exchange 伺服器上匯入憑證

  1. 開啟EAC並流覽至 [伺服器憑證>]

  2. 在 [ 選取伺服器] 清單中,選取您要安裝憑證的 Exchange 伺服器,按兩下 [ 更多選項]圖示,然後選取 [ 匯入 Exchange 憑證]

  3. [匯入 Exchange 憑證] 精靈隨即開啟。 在 [此精靈將從檔案匯入憑證] 頁面上,輸入下列資訊:

    • 要匯入的檔案:輸入憑證檔案的 UNC 路徑和檔名。 例如,\\FileServer01\Data\Fabrikam.cer

    • 密碼:如果憑證檔案包含私鑰或信任鏈結,則檔案會受到密碼保護。 在這裡輸入密碼。

    完成後,按 [下一步]

  4. 在 [指定您要套用此憑證的伺服器] 頁面中,按兩下 [新增新增] 圖示。

    在開啟的 [ 選取伺服器 ] 頁面上,選取您要安裝憑證的 Exchange 伺服器,然後按兩下 [新增 -] >。 視需要重複此步驟多次。 當您完成選取伺服器時,請按兩下 [ 確定]

    當您完成時,按兩下 [ 完成]。 如需後續步驟,請參閱後續步驟一節。

使用 Exchange 管理命令介面在 Exchange 伺服器上匯入憑證

若要匯入憑證檔案,請使用下列語法:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

您可以使用此語法搭配下列類型的憑證檔案:

  • 二進位憑證檔案 (擴展名為 .cer、.crt、.der、.p12 或 .pfx 擴展名的 PKCS #12 檔案) 。
  • 憑證檔案鏈結 (擴展名為 .p7b 或 .p7c 的 PKCS #7 文本檔) 。

本範例會匯入本機 Exchange 伺服器上受密碼P@ssw0rd1保護的憑證檔案 \\FileServer01\Data\Fabrikam.pfx 。 系統會提示您輸入密碼。

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)

此範例會匯入憑證檔案的鏈結 \\FileServer01\Data\Chain of Certificates.p7b

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

如需詳細的語法和參數資訊,請參閱 Import-ExchangeCertificate

注意:

  • 您必須在要匯入憑證的每部 Exchange 伺服器上重複此程式 (在伺服器上執行命令,或使用 Server 參數) 。
  • 如果憑證檔案位於您執行命令的 Exchange 伺服器上,且這是您要匯入憑證的相同伺服器, 則 FileData 參數會接受本機路徑。 否則,請使用 UNC 路徑。
  • 如果您要能夠從匯入憑證的伺服器匯出憑證,您需要使用 PrivateKeyExportable 參數搭配值 $true

如何知道這是否正常運作?

若要確認您已成功匯入 (安裝) Exchange 伺服器上的憑證,請使用下列其中一個程式:

  • 在 [伺服器證書] 的 EAC >,確認已選取您安裝憑證的伺服器。 憑證應該會在憑證清單中,且其 [狀態] 值為 [有效]

  • 在您安裝憑證之伺服器上的 Exchange 管理命令介面中,執行下列命令:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
    

後續步驟

在伺服器上安裝憑證之後,您必須先將憑證指派給一或多個 Exchange 服務,Exchange 伺服器才能使用憑證進行加密。 如需詳細資訊, 請參閱將憑證指派給 Exchange Server 服務