RSS

case10 从企业根CA为Exchange服务器申请并启用证书的相关操作

20 Jul

1、以域管理员账户登录CA服务器,本例为VM-DC-02。确认WEB证书模版属性中,exadmin账户已经拥有Read,Write,Enroll权限,如下图所示。

2、为CAS角色申请多主机名证书。

以exadmin账户登陆VM-CAS-01后,在EMS中使用脚本生成申请证书的文件。

New-ExchangeCertificate -GenerateRequest -PrivateKeyExportable $true -DomainName mail.contoso.com,mailmx01.contoso.com,autodiscover.contoso.com -Path c:\cas01.txt

2.1使用IE登陆http://vm-dc-02.contoso.com/certsrv,并在弹出的对话框中输入exadmin的账户名和密码

2.2点击request a certificate

2.3点击advanced certificate request

2.4点击Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.

2.5使用notepad打开C:\cas01.txt,复制“—–BEGIN NEW CERTIFICATE REQUEST—–”和“—–END NEW CERTIFICATE REQUEST—–”两段文字间的内容。

2.6将复制的内容粘贴到Saved Request下的对话框中,选择Certificate Template为Web Server,点击Submit。如果此时Certificate Template中没有显示Web Server,请查看步骤1的设置来解决。

2.7在Certificate Issued页面,选择DER encoded,并点击Download certificate ,将证书另存为C:\certnew.cer。

3.为VM-CAS-01导入并启用新证书

在EMS中使用以下脚本为VM-CAS-01导入并启用新证书

Import-ExchangeCertificate -Path C:\certnew.cer | Enable-ExchangeCertificate -Services "IIS"

4.确认新证书已启用

运行inetmgr,定位到Default Web Site属性,点击Directory Security标签,点击View Certificate按钮,在Details标签下,查看Subject Alternative Name中包含了mail.contoso.com,mailmx01.contoso.com,autodiscover.contoso.com三个DNS名即可。

至此,VM-CAS-01的证书操作就完成了。

为VM-HUB-01申请并启用证书。

通过目前的测试,发现exadmin是没有权限在ca上申请证书的。在本例,将使用域管理员账户administrator@contoso.com来申请证书。

请重复步骤2申请并下载证书

使用如下脚本生成证书申请文件

New-ExchangeCertificate -GenerateRequest -DomainName VM-HUB-01.contoso.com,VM-HUB-01 -Path c:\hub01.txt

使用下面的脚本导入并启用证书

Import-ExchangeCertificate -Path C:\certnew.cer | Enable-ExchangeCertificate -Services "smtp"

至此,VM-HUB-01的证书操作就完成了。

在MMC证书模块可以看到证书:

为了与edge同步,这里需要重新建立订阅。该步骤略去,详见exchange server operation 文档。

下面进行边缘订阅的操作。在VM-HUB-01上运行start-edgesynchronization后,可以看到三项测试均为成功。

Advertisements
 
 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: