iT邦幫忙

0

exchange 2007憑證過期??(12018事件)

記錄檔名稱: Application
來源: MSExchangeTransport
日期: 2011/10/5 下午 05:04:26
事件識別碼: 12018
工作類別: TransportService
等級: 警告
關鍵字: 傳統
使用者: 不適用
電腦: xxx
描述:
STARTTLS 憑證即將過期: 主旨: xxx,剩餘時數: 47CC2A5A9C6C32A182DBE5A0ACDC9ADD70D69F67。請執行 New-ExchangeCertificate 指令程式,建立新的憑證。

這意思是叫我在命令列下New-ExchangeCertificate 指令嗎??
直接下就會自動更新???

1 個回答

6
conandexter
iT邦好手 10 級 ‧ 2011-10-06 11:03:42
最佳解答

您好!

您找到的教學雖然比較簡單,但是如果你們有使用OWA的話,你會遇到主體別名不符的情況,雖然還是能按繼續,可是就是讓人不蘇胡。

首先要使用系統管理員的身分執行EMC,也就是Exchange管理命令介面,這點很重要喔,否則下方的指令都無法執行。

步驟一:使用New-ExchangeCertificate指令來提出憑證要求,你可以參考一下:

<pre class="c" name="code">
New-ExchangeCertificate -GenerateRequest:$true -Path c:/newCert.txt
-DomainName AAA,BBB,CCC
-PrivateKeyExportable:$true -FriendlyName "XXX CA"
-IncludeAcceptedDomains:$false -Force:$true

注意上面這段指令是一行,為了讓你比較好看所以才分成四行,其中AAA,BBB,CCC就是輸入你想用的主體名稱和別名(第一個為主體名稱,其後為別名),
XXX CA就是輸入這個憑證的名稱,你可以直接以用途來輸入,例如"Exchange 2007 CA"。

步驟二:到AD憑證授權服務的網頁上,到這裡可以依照你查到的資料來進行,但是最後一步,請點選「下載憑證」,將certnew.cer檔案下載下來。

步驟三:使用Import-ExchangeCertificate指令,請參考:

<pre class="c" name="code">
Import-ExchangeCertificate -Path C:\certnew.cer -FriendlyName "XXX CA" | Enable-ExchangeCertificate -Services IIS

我是將下載的檔案直接放在C槽底下,請注意一下路徑,用這個指令可以將憑證先匯入到IIS之中,這樣OWA就能來使用這個新的憑證了。

步驟四:使用Get-ExchangeCertificate指令,可以查看目前所有的憑證。
後面不需要加上List,因為你只是用來看thumbprint就好,找到剛剛的新憑證的thumbprint,先複製起來。

步驟五:使用Enable-ExchangeCertificate指令,讓Exchange的各項服務也使用這個憑證,請參考:

<pre class="c" name="code">
Enable-ExchangeCertificate -thumbprint <剛剛複製的thumbprint16進位碼> -Services IMAP,POP,IIS,SMTP

以上就完成了Exchange憑證的更新了。

祝你順利!

看更多先前的回應...收起先前的回應...
ghost234 iT邦新手 4 級 ‧ 2011-10-06 13:29:31 檢舉

注意上面這段指令是一行,為了讓你比較好看所以才分成四行,其中AAA,BBB,CCC就是輸入你想用的主體名稱和別名(第一個為主體名稱,其後為別名),
XXX CA就是輸入這個憑證的名稱,你可以直接以用途來輸入,例如"Exchange 2007 CA"。

不好意思,因為沒做過,第一步就卡住了,以下是我機器GET出來的東西

<pre class="c" name="code">AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {ltexs01.twn.ABC, ABC.com.tw}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=LTCASRV, DC=twn, DC=ABC
NotAfter           : 2011/10/26 下午 02:17:41
NotBefore          : 2009/10/26 下午 02:17:41
PublicKeySize      : 2048
RootCAType         : Registry
SerialNumber       : 18E340C8000000000006
Services           : IMAP, POP, SMTP
Status             : Valid
Subject            : CN=ltexs01.twn.ABC
Thumbprint         : 47CC2A5A9C6C32A182DBE5A0ACDC9ADD70D69F67
ghost234 iT邦新手 4 級 ‧ 2011-10-06 13:30:10 檢舉

如果是這樣子,我是不是要輸入以下

<pre class="c" name="code">New-ExchangeCertificate -GenerateRequest:$true -Path c:/newCert.txt   
-DomainName ABC.com.tw,ltexs01.twn.ABC   
-PrivateKeyExportable:$true -FriendlyName "XXX CA"  
-IncludeAcceptedDomains:$false -Force:$true  

您好!

如果你是不清楚什麼才是你的主體名稱和別名而卡住的話,其實你可以再確定一下,不過目前看來你的New應該沒有錯。

通常主體名稱會用FQDN來設定,例如:mail.abc.com.tw。
不過這是對外部存取而言啦。

如果內部,通常會用內部所使用的FQDN,像SBS 2008剛裝好就會有一個憑證,其主體名稱叫「主機名稱.網域名稱.local」,別名就有「Site、主機名稱」等等多項。

這通常關係到你的使用者要存取你的OWA或者用Outlook連Exchange時,所使用的網址或者主機名稱,是否和你所使用的憑證主體名稱或別名相符。

如果不符,就會有憑證有問題的情況出現,會跳出錯誤視窗,造成使用者的麻煩,請特別注意一下。

如果發現漏掉哪個名稱,那就重建一個憑證就好,反正不用錢。毆飛

ghost234 iT邦新手 4 級 ‧ 2011-10-24 13:59:19 檢舉

這部份大概了解要做的意義
應該是先產生申請碼,再到CA網下載憑證
後匯入

所以你這種做法算是延展??
因為我聽朋友說
如果是更新的話,可能要到每台電腦上進行憑證更新.....(麻煩..)

另想請教一下
你教的方法跟我在命令列下指令有何不同??

http://ithelp.ithome.com.tw/question/10078795

這是我目前的疑問~~

ghost234 iT邦新手 4 級 ‧ 2011-10-24 16:06:46 檢舉

我有另外用你的方法測試

所以又有一個疑問
那舊憑證我在Get-ExchangeCertificate | LIST時,還是有看到
他是會自已不見???還是要手動Remove-ExchangeCertificate

我要發表回答

立即登入回答