Windows-Server-2008

續訂 Exchange 2010 的 OCSP 和 OWA 證書

  • September 6, 2011

我們已經使用 Exchange 2010 郵件伺服器一年了。今天,Exchange 以及 Forefront TMG 中使用的證書已過期。

我們有以下證書鏈:根 CA 為子 CA 頒發了今天也已過期的證書。

SubCA頒發了一大堆證書(在頒發列表中),但據我了解,主要是CSPO和CA證書。

我可以訪問所有為郵件流付費的伺服器:RootCA、SubCA、Exchange、Forefront。

為了讓郵件恢復正常執行,我需要採取哪些行動大綱?

謝謝你。

我最終自己想出了解決方案。

我需要採取的步驟是:

  1. 從 RootCA 請求 SubCA 的新 CA 證書。
  2. 為 OCSP 響應者續訂 OCSP 證書以正常工作

certutil -setreg ca\UseDefinedCACertInRequest 1 3. 通過以下方式更新 Exhcange 伺服器證書:

a) 在 EMC 中對過期證書創建更新請求。結果 -> *.req 文件。b) 將 req 文件複製到 SubCA。c) 在 SubCA 上執行以下命令

certreq -submit -attrib "CertificateTemplate: WebServer" myreqfilename

結果 -> *.cer 文件生成。

d) 將 cer 文件複製到 EMC 電腦並使用它來完成新的證書註冊請求。

  1. 在 EMC 中將 POP、IMAP、SMTP 和 IIS 服務分配給此證書
  2. 在 EMC 中使用私鑰導出此更新的證書。結果 -> *.pfx 文件。
  3. 將 pfx 導入 Forefront TMG 上的本地電腦個人證書儲存
  4. 為所有 OWA 發布規則分配一個新證書。

引用自:https://serverfault.com/questions/308390