RSS

挖坑文01 申请exchange server 2007的多主机名证书方法

04 Mar

exchange 30篇文章之01,本文同步发表在winos的exchange server板块

多主机名证书在exchange server 2007中被广泛的使用。大家肯定会说,这么简单,直接在ems下申请不就搞定了么?我这里提一个问题:如何在一台没有安装exchange server 2007管理工具的机器上申请多主机名证书?这个问题是不是有点让你犯难呢?答案是有!而且有2种。其实这个问题并不难,需要你对ca证书这块有一定的了解。申请多主机名证书的方式有如下3种:

1.使用EMS申请,并在ca下载导入
2.使用mmc申请,并在ca下载导入
3.直接在ca中申请并下载

下面我搭建了一个环境来为大家做演示。

首先介绍一下环境,下面是2台base为windows server2003的服务器,dc是域控上安装有域ca根证书颁发机构。EX01是该域内的exchange2007服务器。

windows2003的CA根证书颁发机构默认不支持多主机名证书。你会遇到下面这个错误:

为了解决该问题,请在ca服务器上运行下面3个命令
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

下面分别来试试下面3种证书申请的方式。

1.使用EMS申请,并在ca下载导入

这种方法最为普遍,为了这篇文档的完整性,只能再给大家温习一次。

查看证书相关的命令
get-help *cert*

发起一个证书申请
New-ExchangeCertificate -GenerateRequest -SubjectName "CN=ex01.winos.cashcat" -DomainName mail.winos.com,ex01.winos.com -Path c:\ cert.txt

-subject开关后,直接使用 cn=exchange 服务器的fqdn 即可
-domainname开关后,接你会用到的域名。可以使用通配域名,但是可能会在isa2006发布的时候出问题(需要打isa 2006 SP1补丁解决该问题 )。

下载证书

登陆https://dc.winos.cashcat/certsrv去下载证书

 
点击高级证书申请

提交证书请求

打开刚才的cert.txt文件

复制如上文字

 

粘贴到中间的大框中,按下一步

出现此页面,点击下载证书

保存到c:\下

导入证书,并启用

查看证书,san证书就ok了。

2.在windows 6 上使用mmc申请,并在ca下载导入

如果你的exchange是安装在windows server 2008上,那么你可以使用MMC的方式来获取san证书。

运行mmc,然后添加证书,选择computer account

展开personal,并右键,选择all tasks-> Advanced Operations->Custom Request

 

选择(no template) Legacy Key

点击详细,并选择属性

在private key选择key type,选中exchange

key option选中可导出

在extensions中添加服务器验证

在subject下添加多主机名

 

subject name中为common name添加exchange的fqdn
alternative name中为dns 添加你需要的访问名

在一般选项中添加一些说明后,点击ok

 

回到该界面点击下一步

放置好你的请求文件。

 

下载证书:

默认下windows 2003 base上的CA是不支持windows 6的。会出现该界面

 
需要在ca服务器上安装补丁,按照上面错误提示的kb即可解决。

下载证书过程与第一种方式类似。

启用证书:

请注意,如果你并不是在exchange所在的windows server2008上申请的证书,是无法匹配指纹的。

启用证书过程与第一种方式类似。

3.直接在ca中申请并下载

登陆https://dc.winos.cashcat/certsrv

申请证书

高级证书申请

创建并提交申请

申请SAN证书的关键就在于填写那段代码
SAN:dns=mail.winos.com&dns=ex01.winos.com
后面可以接更多你需要的地址。

提交后会弹出一个警告,点击yes即可

进入下载页面后,点击安装证书后,会再次弹出警告窗口,点击确认。

请注意,这一步证书安装默认是安装到用户账户的personal下,我们需要手动将其转移到计算机账户下的personal下。

你可以直接使用鼠标拖拽该证书到计算机账户的personal目录下

为了确认该证书已经正确导入到exchange服务器上,使用get-exchangecertificate 来查看详情

请注意:我们之前在另外一台windows2008上申请的证书即使现在已经导入到计算机账户的persaonal中,因为指纹不对,并不为exchange所认可。

启用证书过程与第一步相同。

—————–以上完结—-

如果本文有技术上的错误,欢迎大家挑错并指正。

—————-

细心的朋友肯定注意到一个小问题,使用EMS申请的证书有个小小的报错。

 

 

这个问题我发现了,但是还没有了解其出现的根本原因。或许是ems的一个bug吧。

参考文档

http://technet.microsoft.com/en-us/library/aa998840.aspx

http://support.microsoft.com/kb/931351

Advertisements
 
3 Comments

Posted by on March 4, 2009 in Exchange Server

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: