切换到宽版
  • 21105阅读
  • 7回复

[求助]exchange 2010 证书--搁置申请 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2010-08-27
大家好!

exchange 2010操作完以下步骤后

1。打开Exchange管理控制台,在服务器配置界面,Exchange证书中,右键点击Exchange2010CA证书,选择完成搁置请求。
2。在完成搁置请求页面,选择浏览,打开桌面上的申请成功的证书:certnew.cer文件,点击完成,完成Exchange服务器证书的申请及导入操作。


然后在服务器配置界面,Exchange证书中,刚才新建成功的证书就没有了(经查找在域控上的证书颁发机构中显示颁发过这个证书)

环境:AD (WIN 2008 标准版)一台(没有子域)
      exchange 2010(win2008 标准版,是域成员,安装exchange的时候,以域管理员账户登录这台服务器)


非常感谢能提供帮助的高手们!
[ 此帖被fawqqq在2010-08-27 16:39重新编辑 ]
分享到

只看该作者 1楼  发表于: 2010-08-27
回 楼主(fawqqq) 的帖子
在命令行里运行下Get-ExchangeCertificate |fl >c:\cert.txt

然后把TXT文档里的内容贴出来看看
只看该作者 2楼  发表于: 2010-08-28
请问版主:您说的那个命令在那儿输入啊!

不好意思,新手提问
只看该作者 3楼  发表于: 2010-08-28
cert文件如下:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                     ssControl.CryptoKeyAccessRule}
CertificateDomains : {EXCHANGE, EXCHANGE.faw-cd.com}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=EXCHANGE
NotAfter           : 2015/8/28 12:29:09
NotBefore          : 2010/8/28 12:29:09
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : 58AE1E3DC10F729F41C6949DDD1D04A6
Services           : IMAP, POP, IIS, SMTP
Status             : Valid
Subject            : CN=EXCHANGE
Thumbprint         : E132490D935DE480299C15FCE4D998D0720810DA

谢谢版主的热心!
只看该作者 4楼  发表于: 2010-08-28
我是以域控管理员的身份登录到exchange服务器,然后安装的exchange,安装都正常!

其中exchange服务器是域成员


参考的证书的建立是如下文档:

为Exchange Server 2010服务器申请证书
在此任务中,您将通过Exchange Server 2010的管理控制台为Exchange服务器创建证书申请,并且通过Web的方式完成向证书颁发机构申请证书的过程,通过Exchange管理控制台可以实现证书申请的图形化界面操作,简化了证书申请的任务操作  
开始这个任务,使用Contoso\administrator账户和密码password01!登录到Ex2010A虚拟机
1、    打开开始菜单,点击所有程序,在Microsoft Exchange Server 2010中选择Exchange Management Console
2、    在Exchange管理控制台中, 展开Microsoft Exchange的内部部署,在弹出的Exchange 2010服务器许可中,点击确定
3、    点击服务器配置,在Exchange证书窗口中,查看当前已有一张自签名的Microsoft Exchange证书
    Exchange Server 2010的安装过程中,会自动为Exchange服务器创建一张自签名的证书,以用于客户端访问及邮件传输的加密,但因为该证书为服务器的自签名证书,默认不被客户端及其他服务器所信任,因此在完成Exchange Server 2010的安装后,需要为服务器申请一张证书替换默认的自签名证书。
4、    在控制台右侧的操作窗口中,选择新建Exchange证书
5、    在新建Exchange证书页面,输入证书的友好名称(E)中,输入Exchange2010CA,并点击下一步
    证书的友好名称可以根据需要自行设定
6、    在域作用域页面中,确认没有勾选启用通配符证书(E),点击下一步
    因为本实验环境为单域结构,没有子域环境,且没有其他特殊需求,因此无需为服务器申请通配符证书。
7、    在Exchange配置页面,展开客户端访问服务器(Outlook Web App), 选中Outlook Web App已连接到Intranet,在用于内部访问Outlook Web App的域名中,输入Ex2010A.contoso.com
选中Outlook Web App已连接到Internet,在用于访问Outlook Web App的域名中,输入mail.contoso.com
8、    展开客户端访问服务器(Exchange ActiveSync), 选中已启用Exchange活动同步,在用户访问Exchange ActiveSync的域名中,输入mail.contoso.com
9、    展开客户端访问服务器(Web服务、Outlook Anywhere和自动发现), 确认选中已启用Exchange Web服务、已启用Outlook Anywhere,在组织的外部主机名输入mail.contoso.com,在Internet上使用的自动发现设置为长URL,要使用的自动发现URL设置为autodiscover.contoso.com
    可以展开其他服务器证书配置选项,如集线器传输服务器、旧版本Exchange服务器等,为集线器传输服务器、旧版本Exchange服务器或者统一消息服务器设置证书
10、    点击下一步,进入证书域页面
11、    在证书域页面,确认证书的域列表中包含autodiscover.contoso.com、ex2010a.contoso.com和mail.contoso.com,点击下一步
12、    在组织和位置页面,依下表输入
单位    Microsoft
组织单位    China
国家/地区    中国
市/县    北京
省/市/自治区    北京

13.    在证书请求文件路径中,选择浏览,选择桌面,将证书请求文件保存在桌面,输入文件名为CARequest,点击保存
14.    点击下一步进入证书配置页面
15.    查看证书的配置是否与之前的设置相同,如无问题选择新建
16.    点击完成,完成证书申请文件的创建。
    证书申请文件的创建完成,接下来需要将申请文件发送给证书颁发机构,以申请证书,因为之前安装了证书颁发机构Web注册,因此可以通过IE浏览器的方式完成证书的注册
17.    打开开始菜单,选择所有程序,打开Internet Explorer
18.    在IE浏览器中地址栏中,输入p://ws2008r2dc.contoso.com/certsrv
19.    在弹出的Windows安全对话框中,输入用户名administrator,密码password01!
20.    在弹出的安全警告中,点击添加,将://ws2008r2dc.contoso.com添加到可信站点中
21.    进入AD证书Web申请页面,选择申请证书
22.    选择高级证书申请
23.    选择使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请
24.    找到桌面上之前创建的证书申请文件carequest.req,使用记事本打开该文件
25.    选中如下图所示选中的内容,并复制所选中的内容

26.    在IE浏览器提交一个证书申请或续订申请页面,将复制的内容粘贴到Base-64编码的证书申请(CMC或PKCS#10或PKCS#7)中,并在证书模板中,选择Web服务器,点击提交
27.    证书会自动颁发,选择下载证书,将证书certnew.cer保存到桌面,关闭IE浏览器。
    Exchange证书的Web申请完成,因为此证书是向之前搭建的WS2008R2DC证书颁发机构所申请的,该证书颁发机构默认是不被其他服务器所信任的,因此需要将该证书颁发机构导入到Exchange服务器的受信任的根证书颁发机构
28.    打开IE浏览器,在地址栏中输入://ws2008r2dc.contoso.com/certsrv,使用用户administrator,密码password01!登录
29.    选择下载CA证书、证书链或CRL
30.    选择下载CA证书,将CA证书保存到桌面,命名为CA.cer
31.    打开开始菜单,选择运行,输入MMC
32.    在控制台中,选择文件,添加/删除管理单元,并将证书添加到所选管理单元,选择计算机账户,点击下一步,选择本地计算机(运行此控制台的计算机),点击完成,点击确定
33.    展开证书(本地计算机)--受信任的根证书颁发机构—证书,右键证书,选择所有任务—导入
34.    在欢迎使用证书导入向导页面,点击下一步
35.    在要导入的文件页面,选择浏览,并选择桌面的ca.cer文件,点击下一步
36.    在证书存储页面,点击下一步,并点击完成,将WS2008R2加入到Exchange服务器的受信任的根证书颁发机构,关闭控制台
37.    打开Exchange管理控制台,在服务器配置界面,Exchange证书中,右键点击Exchange2010CA证书,选择完成搁置请求。
38.    在完成搁置请求页面,选择浏览,打开桌面上的certnew.cer文件,点击完成,完成Exchange服务器证书的申请及导入操作
39.    在Exchange证书页面,确认Exchange2010ca证书已经变更为不是自签名证书



完成了第38步后,证书就不见了!

非常着急,谢谢版主!


只看该作者 5楼  发表于: 2010-08-29
回 4楼(fawqqq) 的帖子
从命令返回的结果来看,该证书申请都不存在。因此,建议你重新按照步骤再做一遍。

若还不行的话,可以参照下列命令来生成证书申请:

假设环境中的外部域名为mail.exchangecn.com,内部服务器名为ex2010.exchangecn.local

New-ExchangeCertificate -GenerateRequest -DomainName mail.exchangecn.com,ex2010.exchangecn.local,exchangecn.local,autodiscover.exchangecn.local,exchangecn.com,autodiscover.exchangecn.com -PrivateKeyExportable $True >c:\certreq.req

FYI:

New-ExchangeCertificate
http://technet.microsoft.com/zh-cn/library/aa998327(EXCHG.140).aspx

然后直接跳到第17步,并用C:\certreq.req到CA去申请证书。结果如何?
只看该作者 6楼  发表于: 2010-08-29
谢谢版主的热心!

如果不执行第31步-----36步,证书就不会消失,但是这样做会影响什么吗?

只看该作者 7楼  发表于: 2010-08-30
回 6楼(fawqqq) 的帖子
那几步貌似是把根证书安装到Exchange上, 这些步骤不应该造成这个问题。。可惜没测过
快速回复
限60 字节
 
上一个 下一个