企业对于邮件通信的安全性和可靠性要求日益提高。Exchange Server 2019 作为一款强大的邮件服务器软件,为企业提供了高效的邮件管理解决方案。而配置自颁发证书则是提升 Exchange Server 2019 安全性的重要一环。通过为服务器配置自颁发证书,可以确保通信的加密和身份验证,保护企业敏感信息不被窃取或篡改。本文将详细介绍如何在 Exchange Server 2019 中配置自颁发证书,帮助企业管理员更好地保障邮件系统的安全稳定运行。
建议尽量采用互联网证书,自颁发证书需要使用Active Directory Certificate Services(ADCS)从安全角度来看又增加了一个风险点。
配置ADCS服务 打开服务器管理器 > 添加角色和功能。
添加Active Directory 证书服务,点击 下一页
角色服务中添加证书颁发机构,证书颁发机构Web注册,点击下一页
保持默认,点击安装。
等待安装完成,点击配置目标服务器上的Active Directory 证书服务
保持默认,点击下一页
选择 证书颁发机构,证书颁发机构Web注册。
保持默认,点击 下一页
保持默认,点击下一页
保持默认,点击下一页
保持默认,点击下一页
无特殊情况,证书名称保持默认即可。
证书有效期,默认为5年
证书数据库位置,保持默认即可
点击配置,进行证书服务的配置。
证书服务配置完成。
生成Exchange证书请求 登陆Exchange服务器,打开Exchange Powershell 创建证书请求。
$cert = New-ExchangeCertificate -GenerateRequest -SubjectName “C=cn,O=pangshare,CN=pangshareCert” -DomainName “*.pangshare.com” -PrivateKeyExportable $true Powershell命令解读:
- New-ExchangeCertificate:这就是用来创建新的 Exchange 证书相关事情的一个命令工具。
- GenerateRequest:这个意思是说要生成一个证书请求哦,不是直接弄出一个自颁发证书啥的,生成的这个请求之后得发给专门的证书颁发机构(CA),让他们给正式发个证书回来。
- SubjectName “C=cn,O=pangshare,CN=pangshareCert” :这是在设置证书的主题名字。
- C=cn:这里的 “C” 代表国家(Country),“cn” 就是中国的代码啦,说明这个证书和中国相关。
- O=pangshare:“O” 表示组织(Organization),这里就是说组织名字是 “pangshare” 。
- CN=pangshareCert:“CN” 是通用名称(Common Name),这里设成了 “pangshareCert”,一般这个得和要用这个证书的主要域名或者服务器名字有点关系哦,可能之后还得根据实际情况改改。
- DomainName “.pangshare.com”:这是在指定证书要管的域名范围哦。这里写的 “.pangshare.com” 就是说这个证书能用于 “pangshare.com” 这个域名下面的所有子域名呢,比如 “mail.pangshare.com”“[web.pangshare.com” 等等都能用这个证书哦。要是你只想让证书管主域名或者几个特定的子域名,那就得改改这个地方。
- PrivateKeyExportable $true:这个设置是说允许把私钥导出来哦。有时候可能因为要把证书和它的私钥挪到别的服务器上之类的操作,就需要能导出私钥啦。不过要注意哦,能导出私钥也有点安全风险呢,如果没这种要导出的需求,也可以考虑设成$false,这样会更安全一些。 命令执行完成后,Exchange管理页面上会看到一个处于搁置状态的证书。
导出Exchange证书文件
$Cert | out-file c:\\Certs\\certreq.txt 打开certreq.txt提交给证书服务器进行证书申请
点击申请证书
点击 高级证书申请
将文本中的内容完整的复制到申请框中,证书模版选择Web服务器,点击提交。
点击 下载证书
通过Powershell将证书进行导入
Import-ExchangeCertificate -Server ws2025-ex01 -FileData ([System.IO.File]::ReadAllBytes(\'\\ws2025-ex01certscertnew.cer\')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String \'123.com\' -AsPlainText -Force) 
为证书分配服务
将SMTP、IMAP、POP、IIS服务分配使用此证书,点击保存
检查服务器是否使用自颁发证书
© 版权信息:
作者:PANGSHARE
发布平台:PANGSHARE | 文章链接:https://www.pangshare.com/exchange-2019-self-signed-certificate/
本文内容仅限非商业性使用,如需商用(包括但不限于广告投放、付费专栏、企业宣传等),请邮件联系原作者获得独家授权,违者将依法追究法律责任。
微信扫一扫 
评论列表(18条)
[…] Exchange Server 2019 配置自颁发证书 […]
再次学习!
感谢分享
再次学习!
不知道是不是ios 邮件客户端已经不支持信任自签名证书了
为嘛都是命令行模式呢,有图形操作步骤么
十分感谢分享
学习学习
学习
学习
学习
学习
感謝
学习一下
学些一下
内容专业,值得学习了
内容专业,值得学习了
内容专业,值得学习了