續訂 Exchange 2010 的 OCSP 和 OWA 證書

我們已經使用 Exchange 2010 郵件伺服器一年了。今天，Exchange 以及 Forefront TMG 中使用的證書已過期。

我們有以下證書鏈：根 CA 為子 CA 頒發了今天也已過期的證書。

SubCA頒發了一大堆證書（在頒發列表中），但據我了解，主要是CSPO和CA證書。

我可以訪問所有為郵件流付費的伺服器：RootCA、SubCA、Exchange、Forefront。

為了讓郵件恢復正常執行，我需要採取哪些行動大綱？

謝謝你。

我最終自己想出了解決方案。

我需要採取的步驟是：

1. 從 RootCA 請求 SubCA 的新 CA 證書。
2. 為 OCSP 響應者續訂 OCSP 證書以正常工作

certutil -setreg ca\UseDefinedCACertInRequest 1 3. 通過以下方式更新 Exhcange 伺服器證書：

a) 在 EMC 中對過期證書創建更新請求。結果 -> *.req 文件。b) 將 req 文件複製到 SubCA。c) 在 SubCA 上執行以下命令

certreq -submit -attrib "CertificateTemplate: WebServer" myreqfilename

結果 -> *.cer 文件生成。

d) 將 cer 文件複製到 EMC 電腦並使用它來完成新的證書註冊請求。

4. 在 EMC 中將 POP、IMAP、SMTP 和 IIS 服務分配給此證書
5. 在 EMC 中使用私鑰導出此更新的證書。結果 -> *.pfx 文件。
6. 將 pfx 導入 Forefront TMG 上的本地電腦個人證書儲存
7. 為所有 OWA 發布規則分配一個新證書。

引用自：https://serverfault.com/questions/308390