DC端新增AD憑證服務(腳色)
1 勾選『憑證授權單位』+『網頁註冊』2項目
選擇企業
根CA
私密金鑰保留預設值
密碼編譯保留預設值
CA名稱會自動帶出,或自行修改
期限預設5年
憑證資料庫位置,採預設
2 系統管理工具-憑證授權單位
滑鼠點名稱--內容--檢視憑證--確認使用目的有2個
3 確認IIS當中有CertSrv虛擬目錄
4 以IIS連線,輸入帳密,發現錯誤,CertSrv的實體路徑是C:\Windows\system32\CertSrv
把它改為:C:\Windows\system32\CertSrv\zh-TW,已經正常
Exchange 端
1 IE連線到DC/Certsrv目錄,輸入驗證
2 選擇:要求憑證--進階憑證要求--用Base-64編碼….
3 將憑證.reg 文字內容,貼到憑證要求內容中
4 憑證範本,選擇Web Server--提交
5 下載憑證certnew.cer
6 回到Exchange 主控台--伺服器設定-主機-剛剛申請的憑證
7 選擇:完成擱置的要求,瀏覽到剛剛的憑證檔-完成
你的 Root CA 是從哪裡來的? 是第三方公開 CA? 還是自己架的?
若是自己架的:
你的 CA 架設方法可能有誤, 導致 Root CA 的憑證沒有派送到 Exchange 上面, 或是 Exchange 無法查到 Root CA, 所以無法驗證你的憑證可信度.
若是第三方 CA:
您所選用的第三方 CA 可能有問題, 或是最近出問題被撤銷掉(前幾個月有一些第三方 CA 出問題, 被取消信任), 導致 Exchange 查不到, 無法信任該憑證.