Windows-Server-2008
續訂 Exchange 2010 的 OCSP 和 OWA 證書
我們已經使用 Exchange 2010 郵件伺服器一年了。今天,Exchange 以及 Forefront TMG 中使用的證書已過期。
我們有以下證書鏈:根 CA 為子 CA 頒發了今天也已過期的證書。
SubCA頒發了一大堆證書(在頒發列表中),但據我了解,主要是CSPO和CA證書。
我可以訪問所有為郵件流付費的伺服器:RootCA、SubCA、Exchange、Forefront。
為了讓郵件恢復正常執行,我需要採取哪些行動大綱?
謝謝你。
我最終自己想出了解決方案。
我需要採取的步驟是:
- 從 RootCA 請求 SubCA 的新 CA 證書。
- 為 OCSP 響應者續訂 OCSP 證書以正常工作
certutil -setreg ca\UseDefinedCACertInRequest 1 3. 通過以下方式更新 Exhcange 伺服器證書:
a) 在 EMC 中對過期證書創建更新請求。結果 -> *.req 文件。b) 將 req 文件複製到 SubCA。c) 在 SubCA 上執行以下命令
certreq -submit -attrib "CertificateTemplate: WebServer" myreqfilename
結果 -> *.cer 文件生成。
d) 將 cer 文件複製到 EMC 電腦並使用它來完成新的證書註冊請求。
- 在 EMC 中將 POP、IMAP、SMTP 和 IIS 服務分配給此證書
- 在 EMC 中使用私鑰導出此更新的證書。結果 -> *.pfx 文件。
- 將 pfx 導入 Forefront TMG 上的本地電腦個人證書儲存
- 為所有 OWA 發布規則分配一個新證書。