我們建議在安裝 Exchange 2007 的 SSL 證書時使用 Exchange 管理外殼。
就像CSR 代碼生成一樣,您需要使用帶有相應參數的 cmdlet 命令。首先,請確保您已將證書授權機構發送給您的驗證證書保存到 C 驅動器的根目錄中。該文件應該是適合 Exchange 伺服器的格式,可以是 .cer、.p7b 或 .p7s。
接下來,導入保存的 SSL 證書。為此,打開 EMS(Exchange 管理外殼):
開始 > 所有程序 > Microsoft Exchange Server 2007 > Exchange 管理外殼
然後同時運行兩個命令——一個用於在伺服器上安裝證書,另一個用於啟用所需的服務。兩個命令應在同一行中,用管道字符分隔:
Import-ExchangeCertificate -Path C:www.example.com.cer | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
- C:www.example.com.cer - 保存的驗證 SSL 證書的路徑;
- "SMTP, IMAP, POP, IIS" - 所有必需的服務應該列出。
(!) 重要:
如果您安裝的是 PEM (X.509) 格式的證書: 安裝後,您需要按照“通過 MMC 安裝根證書和中介證書”中所述的程序,使用您已經收到的其他文件,以完成安裝。
可以通過以下命令驗證證書的安裝:
Get-ExchangeCertificate -DomainName www.example.com
在服務列中,您將看到 SIP 和 W,代表 SMTP、IMAP、POP3 和 Web (IIS)。如果您的證書未正確啟用,您可以通過將證書的指紋粘貼為 -ThumbPrint 參數,重新運行 Enable-ExchangeCertificate 命令,例如:
Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"
如果安裝返回錯誤消息:“找到指紋 [XXX] 的證書,但不適用於 Exchange Server(原因:PrivateKeyMissing)”,請根據錯誤的原因使用以下解決方案之一。
- CSR 代碼和 RSA 金鑰對是在另一台伺服器上生成的。在這種情況下,您需要在安裝之前導入您的金鑰;
- RSA 金鑰丟失/刪除。在這種情況下,無法啟用證書。您需要使用通過 EMS 生成的新 CSR 代碼重新簽發證書;
- 如果以上說明都不符合您的情況,並且您無法檢測到問題,請嘗試運行命令 certutil -repairstore my "YourSerialNumber"(包括引號)。如果您的私鑰以某種方式損壞,但仍在伺服器上,此命令將解決這個問題。如果金鑰損壞,則在 mmc 的 '個人證書' 中,證書圖標將缺少金色鎖鑰。
以下是解決上面最後一個案例中定義的問題的更詳細說明:
- 進入 MMC(Microsoft 管理控制台)> 添加本機計算機帳戶的證書外掛 > 雙擊在個人證書中導入的證書 > 選擇“詳細信息”選項卡 > 點擊“序列號”字段並複製該字符串。
- 輸入:certutil -repairstore my "YourSerialNumber"
- 然後,返回 MMC,右鍵單擊 證書 並選擇 刷新
- 雙擊問題證書。在常規選項卡的底部,您將看到:“您擁有與這個證書相對應的私鑰。”
- 現在私鑰已經附加到證書。試著再次安裝證書。
作為替代方案,為了確認所有必要步驟已完成以及證書已安裝並運行,運行以下命令:
Get-ExchangeCertificate < ThumbPrint > | fl
