記錄檔名稱: Application
來源: MSExchangeTransport
日期: 2011/10/5 下午 05:04:26
事件識別碼: 12018
工作類別: TransportService
等級: 警告
關鍵字: 傳統
使用者: 不適用
電腦: xxx
描述:
STARTTLS 憑證即將過期: 主旨: xxx,剩餘時數: 47CC2A5A9C6C32A182DBE5A0ACDC9ADD70D69F67。請執行 New-ExchangeCertificate 指令程式,建立新的憑證。
這意思是叫我在命令列下New-ExchangeCertificate 指令嗎??
直接下就會自動更新???
您好!
您找到的教學雖然比較簡單,但是如果你們有使用OWA的話,你會遇到主體別名不符的情況,雖然還是能按繼續,可是就是讓人不蘇胡。
首先要使用系統管理員的身分執行EMC,也就是Exchange管理命令介面,這點很重要喔,否則下方的指令都無法執行。
步驟一:使用New-ExchangeCertificate指令來提出憑證要求,你可以參考一下:
<pre class="c" name="code">
New-ExchangeCertificate -GenerateRequest:$true -Path c:/newCert.txt
-DomainName AAA,BBB,CCC
-PrivateKeyExportable:$true -FriendlyName "XXX CA"
-IncludeAcceptedDomains:$false -Force:$true
注意上面這段指令是一行,為了讓你比較好看所以才分成四行,其中AAA,BBB,CCC就是輸入你想用的主體名稱和別名(第一個為主體名稱,其後為別名),
XXX CA就是輸入這個憑證的名稱,你可以直接以用途來輸入,例如"Exchange 2007 CA"。
步驟二:到AD憑證授權服務的網頁上,到這裡可以依照你查到的資料來進行,但是最後一步,請點選「下載憑證」,將certnew.cer檔案下載下來。
步驟三:使用Import-ExchangeCertificate指令,請參考:
<pre class="c" name="code">
Import-ExchangeCertificate -Path C:\certnew.cer -FriendlyName "XXX CA" | Enable-ExchangeCertificate -Services IIS
我是將下載的檔案直接放在C槽底下,請注意一下路徑,用這個指令可以將憑證先匯入到IIS之中,這樣OWA就能來使用這個新的憑證了。
步驟四:使用Get-ExchangeCertificate指令,可以查看目前所有的憑證。
後面不需要加上List,因為你只是用來看thumbprint就好,找到剛剛的新憑證的thumbprint,先複製起來。
步驟五:使用Enable-ExchangeCertificate指令,讓Exchange的各項服務也使用這個憑證,請參考:
<pre class="c" name="code">
Enable-ExchangeCertificate -thumbprint <剛剛複製的thumbprint16進位碼> -Services IMAP,POP,IIS,SMTP
以上就完成了Exchange憑證的更新了。
祝你順利!
注意上面這段指令是一行,為了讓你比較好看所以才分成四行,其中AAA,BBB,CCC就是輸入你想用的主體名稱和別名(第一個為主體名稱,其後為別名),
XXX CA就是輸入這個憑證的名稱,你可以直接以用途來輸入,例如"Exchange 2007 CA"。
不好意思,因為沒做過,第一步就卡住了,以下是我機器GET出來的東西
<pre class="c" name="code">AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {ltexs01.twn.ABC, ABC.com.tw}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=LTCASRV, DC=twn, DC=ABC
NotAfter : 2011/10/26 下午 02:17:41
NotBefore : 2009/10/26 下午 02:17:41
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 18E340C8000000000006
Services : IMAP, POP, SMTP
Status : Valid
Subject : CN=ltexs01.twn.ABC
Thumbprint : 47CC2A5A9C6C32A182DBE5A0ACDC9ADD70D69F67
如果是這樣子,我是不是要輸入以下
<pre class="c" name="code">New-ExchangeCertificate -GenerateRequest:$true -Path c:/newCert.txt
-DomainName ABC.com.tw,ltexs01.twn.ABC
-PrivateKeyExportable:$true -FriendlyName "XXX CA"
-IncludeAcceptedDomains:$false -Force:$true
您好!
如果你是不清楚什麼才是你的主體名稱和別名而卡住的話,其實你可以再確定一下,不過目前看來你的New應該沒有錯。
通常主體名稱會用FQDN來設定,例如:mail.abc.com.tw。
不過這是對外部存取而言啦。
如果內部,通常會用內部所使用的FQDN,像SBS 2008剛裝好就會有一個憑證,其主體名稱叫「主機名稱.網域名稱.local」,別名就有「Site、主機名稱」等等多項。
這通常關係到你的使用者要存取你的OWA或者用Outlook連Exchange時,所使用的網址或者主機名稱,是否和你所使用的憑證主體名稱或別名相符。
如果不符,就會有憑證有問題的情況出現,會跳出錯誤視窗,造成使用者的麻煩,請特別注意一下。
如果發現漏掉哪個名稱,那就重建一個憑證就好,反正不用錢。
這部份大概了解要做的意義
應該是先產生申請碼,再到CA網下載憑證
後匯入
所以你這種做法算是延展??
因為我聽朋友說
如果是更新的話,可能要到每台電腦上進行憑證更新.....(麻煩..)
另想請教一下
你教的方法跟我在命令列下指令有何不同??
http://ithelp.ithome.com.tw/question/10078795
這是我目前的疑問~~
我有另外用你的方法測試
所以又有一個疑問
那舊憑證我在Get-ExchangeCertificate | LIST時,還是有看到
他是會自已不見???還是要手動Remove-ExchangeCertificate