当Exchange组织用于外部和内部访问时,必须在服务器上安装合适的SSL证书。 

这是为了确保正确识别(可信证书)和安全访问(加密)的URL端点等URL终端如Outlook Web App和ActiveSync。

还建议使用它几乎不可避免地为Exchange Web服务分配多个主机名。可能至少有三个主机名分配用于交换SMTP,OWA和 自动发现.

有多个主机名来汇款需要一个 主题交替姓名(SAN)证书 安装。与a相比,圣证书更昂贵 通配符 或单名证书。

非常感谢 让我们加密证书颁发机构,有一个免费的替代方案来获得SSL SAN证书。是的,你读它,它是免费的!在本文中,您将学习如何获取,安装和计划以自动续订Exchange Server 2019的SAN SSL证书。了解如何使用PowerShell自动执行IT任务。 下载此电子书。 

要求

本文假定您有以下先决条件。

  • Microsoft Exchange Server 2019
  • 您应该设置一个已设置的Exchange Server,并且已配置内部和外部URL。 (看 在Exchange服务器上配置邮件流和客户端访问)
  • 要包含在SAN证书中的主机的内部和外部DNS记录。具体到本文,将使用三个主机名。
    • psh-lab.gq. –主要证书名称
    • psh-lab.gq.
    • psh-lab.gq.
  • 一个  ACME客户端 这是让我们加密CA的支持。具体到本文, Win-Acme. 客户将被使用,因为它易于使用并具有大量文档。本撰写本文的最新版本为2.1.2.636。

如果您需要设置测试环境,可以 请求试验Azure订阅 to 创建虚拟机 安装Exchange Server 2019和A 公共DNS区域 托管您的域名。您还可以请求免费域 freenom.org..

没有可信SSL证书的Exchange服务器

我们首先要查看Outlook Web应用程序在安装受信任的SSL证书之前的样子。

The screenshot below shows that there’s a certificate error for the site //webmail.psh-lab.org. The warning shows that there is a problem with the website’s security certificate and that it is unsafe.

SSL-iconistic1.

Outlook Web App证书错误

获取新的让我们加密SSL SAN证书

使用Win-Acme客户端,有两种方法可以从Let's加密CA中获取证书。交互式菜单驱动方法和命令行/无人参与方法。您将了解如何使用两种方法。

在下一节中,假设Win-ACME客户端安装在Exchange服务器上的* C:目录中。

使用交互式菜单

交互式菜单是推荐的方法,尤其是第一次请求SSL证书。这是因为这种方法沿着可以熟悉工具在引擎盖下做什么的方式提供提示和描述。

要启动,请打开一个提升的命令提示符并将工作目录更改为安装Win-Acme客户端的位置,运行 wacs.exe。您将以交互式菜单呈现。

没有“简单”菜单用于设置Exchange证书,因此此时输入 M 以完整选项创建新证书。

SSL-Certification3.

Choose 以完整选项创建新证书。

ssl-certificate4.

选择创建新证书将完全选项。

接下来,将要求您选择要在要请求的证书中包含的主机名列表。进入 2 选择手动输入的选项。

SSL-Certification5.

选择手动输入主机名的选项

SSL-Certificate6.

选择手动输入主机名

系统会提示您输入主机名列表。输入用逗号分隔的多个主机名。在此示例中,使用的主机名是 mail.psh-lab.gq,webmail.psh-lab.gq,autodiscover.psh-lab.gq

订单中的第一个主机名将被选为默认为主要证书名称。

SSL-Certificate7.

指定主机名以包含在SAN证书中

下一个提示向您展示证书的建议友好名称(这与证书名称不同),按 Enter 接受默认值。

SSL-Certificate8.

接受默认的友好名称

可用方法列表,以验证您为SAN证书添加的域的所有权。进入 2 要选择使用[HTTP-01]推荐验证方法的选项。

SSL-Certificate9.

选择推荐的所有权验证方法

选择要用于证书签名请求的加密密钥类型。默认选项是RSA键,也建议使用它。输入2以选择RSA键。

SSL-iconist-10

选择证书签名请求的RSA密钥

更多的是存储所请求证书的一种方法。但是,在此示例中,将选择Windows证书存储。进入 3 and press Enter.

当询问您是否要添加另一种存储证书的方法,请输入 3 再次跳过和压力 Enter.

SSL-iconist-11

仅选择Windows证书存储

接下来,将要求您选择在Windows证书存储中安装证书后执行一个或多个操作以执行。选择选项 1 创建或更新HTTPS绑定和 1 to select the 默认网站.

SSL-iconist-12

选择要更新默认网站的HTTPS IIS绑定的选项

Exchange Server前端站点托管在IIS的默认网站中。

当被要求添加另一个安装步骤时,请选择 2启动外部脚本或程序。然后,在提示脚本的路径时,请输入此路径 ./scripts/importexchange.ps1。

SSL-iconistic-13

选择启动脚本并提供脚本的路径

剧本 importexchange.ps1. 包含Win-ACME客户端的安装并位于子文件夹中 脚本。此脚本的函数是将证书应用于OWA,SMTP和IMAP等交换服务。

接下来,将要求您输入指定脚本的参数,请在下面输入此行。在此示例中,证书将应用于IIS,SMTP和IMAP。

'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'

如果要添加或删除该证书将应用于哪些服务,则只需更改第二个参数值。将所有其他参数值留下默认值。请参阅下面的示例以供参考。

SSL-iconist-14

进入 the script parameter values

Win-ACME客户端将继续执行以下任务:

  • 提交并验证请求
  • 获取并安装证书存储中的证书。默认情况下,证书已安装到*本地计算机证书存储。
  • 添加网站的HTTPS绑定以使用新证书。
  • 在Windows任务调度程序中创建新的预定任务,以自动续订证书。
SSL-iconistic-15

Win-ACME请求并安装SSL证书

由LET加密CA发布的SSL证书仅在发布日期后90天有效。默认情况下,Win-ACME客户端只续订超过55天的证书。

使用命令行

您已经看到了如何使用上一节中的交互式菜单来获取和安装SAN证书。现在,您将学习相同但使用命令行。

要使用命令行选项请求SAN证书,请在下面的代码复制并在高架CMD提示符中粘贴。工作目录必须是安装Win-ACME客户端的文件夹的位置。在此示例中,Win-ACME客户端安装在 C:。

不要忘记更改指定的主机名–主机参数。下面的命令将执行与交互式方法相同的准确步骤,但没有任何确认。

wacs.exe --target manual --host mail.psh-lab.gq,webmail.psh-lab.gq,autodiscover.psh-lab.gq --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --installationsiteid 1 --script "./Scripts/ImportExchange.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'"

要了解有关命令行选项的更多信息,请访问 Win-ACME命令行参考 page.

测试Exchange Server SAN SSL证书

有几种方法可以在Exchange服务器中测试新安装的SAN SSL证书。在本节中,您将学习如何以几种不同的方式测试和确认证书。

使用在线SSL Checker Tools

有许多在线工具可用于检查SSL证书,其中一个是 Digicert®SSL安装诊断工具.

去吧 Digicert®SSL安装诊断工具 网站并从SAN证书输入主机名。下面的屏幕截图显示了mail.psh-lab.gq的SSL测试结果。

SSL证书-16

SSL证书有效且已正确安装

使用Microsoft远程连接分析仪

当你访问的时候 Microsoft远程连接分析仪 PAGE,您将了解有很多用于Exchange Server的测试。在这个例子中, Outlook Connectivity. test will be used.

下面的示例显示了Outlook连接测试结果与警告成功。在进一步检查时,警告仅是确保选择Windows Update中的“更新根证书”选项。

SSL-iconist-17

连接测试成功

使用展望自动发现

要测试,请在Outlook中创建一个新帐户。输入帐户的电子邮件地址时,Outlook应该能够自动发现Exchange Server设置并在计算机上设置Outlook配置文件。

SSL-iconist-18

展望自动发现

浏览Outlook Web应用程序

在本文的开头,您已经了解Outlook Web App站点如何在安装SSL证书之前显示证书警告。安装SAN证书后,导航到URL //webmail.psh-lab.gq 不再显示证书错误。请参阅下面的示例屏幕截图。

SSL-iconist-19

Outlook Web App证书有效且可信赖

概括

在本文中,您已经了解了如何使用Win-ACME客户端来请求,安装和安排ver的enrohypts enroprypt SAN SAN证书为Exchange Server 2019.您已经学习了这样做的两个选项,这是交互式菜单和命令行方法。

此外,您还学习了几种不同的方法来测试并确认已正确安装SAN证书,并由Exchange服务使用。本文提供的步骤仅介绍了将证书安装到单个Exchange 2019服务器的过程。

如果您有多个Exchange Server部署,您将提出导出证书的进程并将其导入组织中的其他Exchange服务器。

谢谢你的阅读!

话题: 安全IT见解电源外壳

资源: //blog.ipswitch.com/install-free-lets-encrypt-ssl-san-certificate-for-exchange-2019