Windows-Server-2012-R2

如何更改交換證書並確保正確涵蓋目前服務

  • November 11, 2019

我目前正在努力了解如何在伺服器上上傳和管理 Exchange 證書。我找到了以下How to Renew SSL Certificate for Exchange 2013 Server Step by Step Guide,但它似乎沒有涵蓋將證書添加到 Exchange OWA 站點,也沒有說明如何驗證應該檢查哪些服務新證書。我只是對更新證書格外謹慎,因為 中已經有多個證書Exchange Control Panel> Servers> Certificates,而且它們似乎都涵蓋了不同的服務。

  • 有沒有辦法驗證我應該替換哪些服務?(見範圍)
  • 一旦新證書選擇了服務,服務證書是否會自動被新證書替換,還是必須取消選中舊證書?
  • 我需要做些什麼來確保 ECP、OWA 等網站也得到更新嗎?

範圍

  • 新的 GoDaddy 證書mail.domain.com以替換數字證書 ssl
  • 2 個 Exchange 伺服器:EXCH1、EXCH2
  • mail.domain.com擁有 ECP 站點、自動發現和 OWA 站點
  • 自簽名證書(?不確定這些是否對替換很重要)
  • 目前似乎涵蓋的服務digicert:IMAP、POP、IIS、SMTP
  • Microsoft Exchange自簽名證書似乎涵蓋的目前服務:SMTP、IIS
  • 似乎涵蓋的目前服務Microsoft Exchange Server Auth Certificate:SMTP

分步指南中的說明

如何逐步更新 2013 年的 SSL 證書

  1. 創建新的 CSR(證書籤名請求)
  1. 打開 EAC 或 Exchange 管理中心網頁。
  2. 導航到伺服器部分。
  3. 點擊證書選項。
  4. 選擇伺服器名稱。
  5. 點擊您需要更新的證書。
  6. 點擊更新選項。
  7. 將新的 CSR 請求保存到所需的 UNC 路徑。
  8. 送出 CSR 請求以向您的第 3 方證書供應商生成新證書。
  9. 下載新證書。
  1. 安裝新證書
  1. 打開 EAC 或 Exchange 管理中心網頁。
  2. 導航到伺服器部分。
  3. 點擊證書選項。
  4. 選擇伺服器名稱。
  5. 現在選擇狀態為“待處理請求”的證書。
  6. 在右側,點擊完整選項。
  7. 現在輸入新下載證書的 UNC 路徑。
  1. 為 IIS、SMTP、IMAP 或 POP 等服務分配新證書
  1. 打開 EAC 或 Exchange 管理中心網頁。
  2. 導航到伺服器部分。
  3. 點擊證書選項。
  4. 選擇伺服器名稱。
  5. 選擇新證書。
  6. 點擊編輯圖示。
  7. 點擊服務選項。
  8. 點擊您要分配和保存的服務複選框。
  9. 已為單個伺服器完成證書更新。

注意:如果您有多個 Exchange 伺服器。轉到第 4 步。

  1. 從同一個組織中的第一台 Exchange 伺服器導出證書。
  1. 從您第一次更新或安裝的伺服器導出證書。
  2. 打開 EAC 或 Exchange 管理中心網頁。
  3. 導航到伺服器部分。
  4. 點擊證書選項。
  5. 選擇第一個伺服器名稱。
  6. 選擇要導出的新證書。
  7. 點擊“…”或更多圖示並選擇導出交換證書。
  8. 輸入要導出新證書的 UNC 路徑。
  9. 提供密碼並按照其餘步驟操作。
  1. 在同一組織的其他 Exchange 伺服器上導入證書。
  1. 打開 EAC 或 Exchange 管理中心網頁。
  2. 導航到伺服器部分。
  3. 點擊證書選項。
  4. 點擊“…”或更多圖示。
  5. 點擊導入交換證書
  6. 輸入您在上述步驟 4 中執行的導出證書的 UNC 路徑。
  7. 輸入您在上述步驟 4 中提供的密碼。
  8. 現在點擊“+”圖示並添加您的其他 Exchange 2013 伺服器。
  9. 按照嚮導完成導入過程。
  1. 在其他 Exchange 伺服器上分配服務。

• 按照步驟 3。

您沒有將證書分配給站點(OWA 等),而是將其分配給服務(IIS、SMTP 等),而後者又將其用於站點、服務、協議。

https://docs.microsoft.com/en-us/exchange/architecture/client-access/assign-certificates-to-services?view=exchserver-2019

同意 joeqwerty,使用我們管理的證書的服務都是依賴於 IIS(OWA、EAC、Web 服務、Active Sync、Outlook Anywhere、Autodiscover 和 OAB)、POP 和 IMAP 等傳統協議以及 SMTP 用於 TLS 的服務.

此外,當您為新證書分配服務時,點擊保存後,您會收到通知,提醒您覆蓋現有證書。

更多詳細資訊:服務的證書要求

引用自:https://serverfault.com/questions/991137