我目前正在努力了解如何在服务器上上传和管理 Exchange 证书。我找到了以下How to Renew SSL Certificate for Exchange 2013 Server Step by Step Guide,但它似乎没有涵盖将证书添加到 Exchange OWA 站点,也没有说明如何验证应该检查哪些服务新证书。我只是对更新证书格外谨慎,因为 中已经有多个证书Exchange Control Panel> Servers> Certificates,而且它们似乎都涵盖了不同的服务。
有没有办法验证我应该替换哪些服务?(见范围)
一旦新证书选择了服务,服务证书是否会自动被新证书替换,还是必须取消选中旧证书?
我需要做些什么来确保 ECP、OWA 等网站也得到更新吗?
范围
- 新的 GoDaddy 证书
mail.domain.com以替换数字证书 ssl - 2 个 Exchange 服务器:EXCH1、EXCH2
mail.domain.com拥有 ECP 站点、自动发现和 OWA 站点- 自签名证书(?不确定这些是否对替换很重要)
- 当前似乎涵盖的服务
digicert:IMAP、POP、IIS、SMTP Microsoft Exchange自签名证书似乎涵盖的当前服务:SMTP、IIS- 似乎涵盖的当前服务
Microsoft Exchange Server Auth Certificate:SMTP
分步指南中的说明
如何逐步更新 2013 年的 SSL 证书
1) 创建新的 CSR(证书签名请求)
- 打开 EAC 或 Exchange 管理中心网页。
- 导航到服务器部分。
- 单击证书选项。
- 选择服务器名称。
- 点击您需要更新的证书。
- 点击更新选项。
- 将新的 CSR 请求保存到所需的 UNC 路径。
- 提交 CSR 请求以向您的第 3 方证书供应商生成新证书。
- 下载新证书。
2) 安装新证书
- 打开 EAC 或 Exchange 管理中心网页。
- 导航到服务器部分。
- 单击证书选项。
- 选择服务器名称。
- 现在选择状态为“待处理请求”的证书。
- 在右侧,单击完整选项。
- 现在输入新下载证书的 UNC 路径。
3) 为 IIS、SMTP、IMAP 或 POP 等服务分配新证书
- 打开 EAC 或 Exchange 管理中心网页。
- 导航到服务器部分。
- 单击证书选项。
- 选择服务器名称。
- 选择新证书。
- 点击编辑图标。
- 单击服务选项。
- 单击您要分配和保存的服务复选框。
- 已为单个服务器完成证书更新。
注意:如果您有多个 Exchange 服务器。转到第 4 步。
4) 从同一个组织中的第一台 Exchange 服务器导出证书。
- 从您第一次更新或安装的服务器导出证书。
- 打开 EAC 或 Exchange 管理中心网页。
- 导航到服务器部分。
- 单击证书选项。
- 选择第一个服务器名称。
- 选择要导出的新证书。
- 单击“...”或更多图标并选择导出交换证书。
- 输入要导出新证书的 UNC 路径。
- 提供密码并按照其余步骤操作。
5) 在同一组织的其他 Exchange 服务器上导入证书。
- 打开 EAC 或 Exchange 管理中心网页。
- 导航到服务器部分。
- 单击证书选项。
- 单击“...”或更多图标。
- 单击导入交换证书
- 输入您在上述步骤 4 中执行的导出证书的 UNC 路径。
- 输入您在上述步骤 4 中提供的密码。
- 现在单击“+”图标并添加您的其他 Exchange 2013 服务器。
- 按照向导完成导入过程。
6) 在其他 Exchange 服务器上分配服务。
• 按照步骤 3。
您没有将证书分配给站点(OWA 等),而是将其分配给服务(IIS、SMTP 等),而后者又将其用于站点、服务、协议。
https://docs.microsoft.com/en-us/exchange/architecture/client-access/assign-certificates-to-services?view=exchserver-2019
同意 joeqwerty,使用我们管理的证书的服务都是依赖于 IIS(OWA、EAC、Web 服务、Active Sync、Outlook Anywhere、Autodiscover 和 OAB)、POP 和 IMAP 等旧协议以及 SMTP 的 TLS 的服务.
此外,当您为新证书分配服务时,点击保存后,您会收到通知,提醒您覆盖现有证书。
更多详细信息:服务的证书要求