将证书分配给 Exchange Server 服务

在 Exchange 服务器上安装证书后,需要先将证书分配给一个或多个 Exchange 服务,然后 Exchange 服务器才能使用该证书进行加密。 可以在 Exchange 管理中心 (EAC) 或 Exchange 命令行管理程序中将证书分配给服务。 一旦您将证书分配给服务,就不能删除该分配。 如果不再希望将证书用于特定服务,您需要将另一个证书分配给该服务,然后删除您不想使用的证书。

下表介绍了可用的 Exchange 服务。

服务 使用
IIS 用于使用 HTTP 的内部和外部客户端连接的 TLS 加密。 这包括:
自动发现
Exchange ActiveSync
Exchange 管理中心
Exchange Web 服务
脱机通讯簿 (OAB) 分发
Outlook 无处不在(HTTP 上的 RPC)
Outlook(HTTP 上的 MAPI)
Outlook 网页版
IMAP IMAP4 客户端连接的 TLS 加密。
请勿将通配符证书分配到 IMAP4 服务。 请改用 Set-ImapSettings cmdlet 配置完全限定的域名 (FQDN) 客户端用于连接到 IMAP4 服务。
流行 POP3 客户端连接的 TLS 加密。
请勿将通配符证书分配到 POP3 服务。 请改用 Set-PopSettings cmdlet 来配置客户端用来连接到 POP3 服务的 FQDN。
SMTP 用于外部 SMTP 客户端和服务器连接的 TLS 加密。
Exchange 与其他消息服务器之间的相互 TLS 身份验证。
将证书分配给 SMTP 时,系统会提示你替换用于加密内部 Exchange 服务器之间的 SMTP 通信的默认 Exchange 自签名证书。 通常,不需要替换默认 SMTP 证书。
统一消息 (UM) 用于与 Exchange 2016 邮箱服务器上的后端 UM 服务的客户端连接的 TLS 加密。
当将服务的 UM 启动模式属性设置为 TLS 或 Dual 时,您只能将证书分配到 UM 服务。 如果将 UM 启动模式设置为默认值 TCP,您将无法将证书分配到 UM 服务。 (注意:UM 在 Exchange 2019) 中不可用。 有关详细信息,请参阅Configure the Startup Mode on a Mailbox Server
统一消息呼叫路由器 (UMCallRouter) 用于与 Exchange 2016 邮箱服务器上的客户端访问服务中的 UM 呼叫路由器服务的客户端连接的 TLS 加密。
当将服务的 UM 启动模式属性设置为 TLS 或 Dual 时,您只能将证书分配到 UM 呼叫路由器服务。 如果将 UM 启动模式设置为默认值 TCP,您将无法将证书分配到 UM 呼叫路由器服务。 (注意:UM 在 Exchange 2019) 中不可用。 有关详细信息,请参阅Configure the Startup Mode on a Client Access Server

在开始之前,您需要知道什么?

  • 估计完成时间:5 分钟。

  • 执行本主题中的过程后,可能需要重启 Internet Information Services (IIS) 。 在某些情况下,Exchange 可能会继续使用以前的证书来加密和解密用于 Outlook 网页版的 cookie (以前称为 Outlook Web App) 身份验证。 建议在使用第 4 层负载均衡的环境中重启 IIS。

  • 如果续订或替换由订阅的边缘传输服务器上的 CA 颁发的证书,则需要删除旧证书,然后删除并重新创建边缘订阅。 有关详细信息,请参阅边缘订阅进程

  • 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

  • 您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 客户端和移动设备权限主题中的"客户端访问服务安全"条目。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 请在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

使用 EAC 将证书分配给 Exchange 服务

  1. 打开 EAC,并导航到 “服务器>证书”。

  2. “选择服务器” 列表中,选择保存证书的 Exchange 服务器。

  3. 选择要配置的证书,然后单击“编辑”图标。 证书的“状态”值需为“有效”

  4. 在“服务”选项卡上,在“指定要向其分配此证书的服务”部分中,选择服务。 请记住,您可以添加服务,但不能删除它们。 完成后,单击“保存”。

使用 Exchange 命令行管理程序将证书分配给 Exchange 服务

若要将证书分配给 Exchange 服务,请使用以下语法:

Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]

此示例将具有指纹值的 434AC224C8459924B26521298CE8834C514856AB 证书分配给 POP、IMAP、IIS 和 SMTP 服务。

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP

您可以使用 Get-ExchangeCertificate cmdlet 查找证书指纹值。

如何知道操作成功?

若要验证是否已成功将证书分配给一个或多个 Exchange 服务,请使用以下任一过程:

  • “服务器>证书”处的 EAC 中,验证是否已选择安装证书的服务器。 选择证书,然后在详细信息窗格中,验证“分配到服务属性”中是否包含您已选择的服务。

  • 在安装了证书的服务器上的 Exchange 命令行管理程序中,运行以下命令来验证证书的 Exchange 服务:

    Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services