、架设证书服务器
exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有证书,也能安装exchange2010,也能使用owa,但是会不断有告警出现。所以,要先架设证书服务器,自己给自己发证书。
架设证书服务器,参考
http://tech.ddvip.com/2009-06/1244884647123645.html
1、服务器管理器---单击角色---右边添加角色---下一步---勾选active directory证书服务
2、点击下一步后,告诉你如果要架设证书服务器,就不能够再修改服务器的名字和域了,免得骗子证书满天飞。再次点击下一步。
3、默认只有安装证书颁发机构,除此之外,联机响应程序、web注册功也可以安装,web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装,要么需要其他环境支持,都暂时不用安装了。点击下一步。
4、安装类型里面选择企业。
有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个。(这句话完全是抄袭别人的,抄袭起来果然比自己打字轻松)简单说,企业更牛。
必须是 Domain Admins 组的成员或者是具有 AD DS 写入权限的管理员才能安装企业根 CA。我们一直在使用administrator进行操作,它当然具有这个权限。
ca类型是根ca
5、设置私钥
新建私钥,默认设置,勾选允许交互操作,点击下一步。
6、配置ca名称,默认,点击下一步。证书有效期,默认5年,点击下一步。数据库位置和日志位置默认,点击下一步。
7、确认,安装。告警信息再次提醒部署了ca服务器后就不能修改计算机名称和域了。
8、完成安装。
9、开始---管理工具---证书颁发机构(certsrv.msc),就可以打开证书服务器管理了。如果在安装IIS的时候没有启用asp,当安装完毕证书服务和web注册后也,也会开启asp.net和asp服务。
10、如果要安装余下的证书服务。控制面板---打开或关闭windows功能---展开角色---actice directory 证书服务 右键点击---添加角色服务
11、勾选想要安装的其他角色服务,该选项如果有附带角色服务要求,点击 添加所需的角色服务即可。
证书服务器的其他角色服务可能更好用,不过我这里没有继续添加了。
12、安装了web注册后,就可以在开始---管理工具---internet信息服务(IIS)管理器---网站---default web site---点击右侧 “查看应用程序”看到/certsrv程序已经被添加了。
14、ie中输入192.168.1.61/certsrv,出现登陆框,(使用administrator和xitongguanliyuanmima0)就可以登录证书服务了。这里暂时不登陆,等到准备好证书申请文件后,再登陆。
15、升级后重启服务器。
16、查看证书服务器和证书
在开始---管理工具---点证书颁发机构---右键点击omohome-omoserver-ca---选属性,可以看到0号证书,这是证书服务器颁发给自己的根证书。
点击查看证书,可以看到详细信息。
展开颁发的证书,可以看到颁发给域控服务器的2号证书,这份证书在安装了证书服务器,并重启了以后,才会颁发,重启之前是看不到的。
展开服务器管理器---web服务器(IIS)---点击internet信息服务(IIS)管理器---右侧展开omoserver---点开服务器证书(可以在筛选里找证书),可以看到刚才的两个证书,他们默认的到期时间是不一样的。第一个是颁发给域控的证书,第二个是颁发给证书服务器自己的证书。
十、启用站点的ssl
现在完成了IIS、证书服务器的架设,服务器里已经有两个证书,可以试验开启站点的ssl了。
1、开始---管理工具---internet 信息服务(IIS)管理器---omoserver---网站---default web site---右侧点击绑定---添加---类型选择https---ssl证书从我们现有的两个证书中随便选一个,确认后就打开了ssl。
现在用192.168.1.61来访问主页,还是原状保持不变。如果使用https://192.168.1.61来访问就会发生变化。
这是因为我们刚才绑定的ssl证书是给域控服务器发放的,与输入的192.168.1.61不匹配,所以出现一个警告,点击继续浏览此网站,可以看到页面,但是地址框变成了红色,表示站点证书异常,需要小心。点击证书错误,可以查看解释和证书内容。
2、现在,通过http://192.168.1.61和https://192.168.1.61都可以访问,但在完成exchange的部署后,http访问就会失效,只能通过https来访问。打开开始---管理工具---internet 信息服务(IIS)管理器---omoserver2---网站---default web site---ssl设置,当完成exchange的架设后,ssl设置将被默认勾选。双击ssl设置,如果我们勾选这里的要求ssl,那么我们的网站也不能通过http来访问了。在exchange部署完成后,如果不想麻烦,可以在这里取消ssl的勾选,然后点应用,或者在站点的绑定里面删除掉https的绑定。
十一、为站点制作证书申请、申请证书、安装证书
在架设好证书服务器后,可以给站点制作、申请、安装一个证书来保证ssl的使用。
参考http://tech.sina.com.cn/smb/2008-11-23/0713884732.shtml的教程
ssl本来是为了提高安全性,为了没有告警关闭这个选项不是最好的解决办法,应该通过安装证书来保证ssl的使用。有两个方法得到证书,一是向全球公认的证书提供商申请证书然后安装,一是自己架设证书服务器给自己发证书。我们前面已经建设好了证书服务器,可以向自己的服务器申请证书。
CA即Certificate Authority ,也就是证书授权中心,Internet 服务器证书由公共证书颁发机构 (CA) 颁发。若要获取 Internet 服务器证书,首先要向 CA 发送申请,然后安装从 CA 发送来的 Internet 服务器证书。
1、打开 IIS 管理器,点击omoserver2,中间IIS栏目下找到服务器证书,双击(也可以在筛选中输入"证书"快速查找。)
2、在右边"操作"窗格中,单击"创建证书申请"。
3、在"申请证书"向导的"可分辨名称属性"页上,填写信息,然后单击"下一步"。这里写的证书名称必须和网站的名称一致。比如,想要认证的网站叫做omoserver2.omohome.com,那么名称就一定要填写这个。即使192.168.1.61与它指向的是同一个页面,也不能填写成192.168.1.61,否则在使用中会出现客户端输入的网站名字与证书名字不符合,认证告警的情况。其他内容都可以随便填写。
5、加密默认,位长默认,单击"下一步"。
6、在"文件名"页上的"为证书申请指定一个文件名"文本框中,键入一个文件名;可以单击该页上的浏览按钮 (...) 来指定保存位置和名字。我将证书放在我的文档下面,名字叫做omo的证书申请文件,默认是txt文件。
7、到我的文档里面一看,一个证书申请文件做出来了。打开证书,看到一大堆XXX文字,这是加密了的内容。然后,如果有钱有闲,去国际公认的证书发行公司申请证书吧。证书多少钱一个?不知道。申请文件发给谁?不知道。多少时间证书做好发回来?不知道。貌似一个网上缴税的ca证书是80元,貌似taobao的证书不要钱,貌似盗版服务器搞证书很纠结。
还是将这个文件发到我们自己的证书服务器里面去认证吧。
8、证书申请文件“omo的证书申请文件.txt”已经准备好,放在我的文档了;证书服务器已经架设好,可以web访问了。现在开始申请证书。
A、先在服务器IE中把http://192.168.1.61/添加为可信任的站点,信任站点安全降到最低。(这是为了下载插件的时候不被IE阻止)
B、在服务器的ie中输入http://192.168.1.61/certsrv,出现登陆框,使用administrator2和xitongguanliyuanXXXX0)登录。点击申请证书,点击高级证书申请,选第二项64编码的XXXXXX
C、找到我的文档中的“omo的证书申请文件.txt”,打开,将内容全部拷贝。
D、点击“是”,确认操作,默认der编码证书,然后点击下载证书。将做好的证书保存到我的文档。
9、已经完成了架设证书服务器--- 证书申请文件制作---向架设的证书服务器申请证书的工作,剩下就是将得到的证书导入了。
开始---管理工具---internet 信息服务(IIS)管理器---omoserver2---证书服务器---点右边的完成证书申请,在我的文档中找到刚才下载的证书,好记名字随便写,一路确定完成证书导入。
现在在开始---管理工具---internet 信息服务(IIS)管理器---omoserver---证书服务器里面就有3个证书了,从上到下分别是发给域控的证书、证书服务器自己发给自己的证书、刚才导入的证书。
10、证书导入后,还没有和网站绑定。开始---管理工具---internet 信息服务(IIS)管理器---omoserver2---网站---default web site---右侧点击绑定---弹出对话框中点击添加---类型https,ssl证书选择下拉框中找到刚才导入的证书,一路确认。(如果前面已经绑定的证书还是域控的证书,这里就可以把它更换成给网站的证书了)
11、在服务器的IE中输入
http://omoserver2.omohome.com/和https://omoserver2.omohome.com/都可以访问。当输入https://omoserver2.omohome.com/时打开的页面出现了变化,地址栏后面出现了一把锁,表示已经加密,点击锁可以看到说明。
12、这时,再到客户端的IE中输入https://omoserver2.omohome.com/,任然有证书错误的告警,这是因为客户端还没有信任我们自己建设的证书服务器。在客户端的IE中把http://192.168.1.61/添加为可信任的站点,登陆http://192.168.1.61/certsrv,输入密码后,点击 下载 CA 证书、证书链或 CRL---下载ca证书---保存到桌面。在桌面打开刚刚下载的证书,可以看到此根证书不受信任的告警,点击安装证书---下一步---选择将所有的证书放入下列存储---浏览---选择 受信任的根证书颁发机构---然后一路选择确认和是。导入完成后,再打开桌面的证书,可以看到证书告警已经消失了。
13、再次在客户端IE中打开https://omoserver2.omohome.com/,正常的锁出现了,证书安装完毕。这个认证只针对omoserver2.omohome.com这个名字,如果用192.168.1.61来登录,因为名字和证书不一样,就算他们指向同一个网站,也会告警。
14、给每一台客户端电脑都安装证书保证他们都不会告警。
如果打算不启用ssl,那么可以不设置九、十、十一
除去证书设置以外的所有的部署前准备工作可以在
http://technet.microsoft.com/zh-cn/library/bb691354(EXCHG.140).aspx
中查询。不布置证书的准备是非常快的。
依然要升级,存档。
安装win2008r2、域控、IIS、证书服务器、部署exchange2010
原文地址:http://122269875.blog.51cto.com/1660536/1713782