iT邦幫忙

1

exchange2003升級2010憑證環境建置問題

各位先進大大好:

公司目前環境為DC server2008R2+ exchange2003(安裝在server 2003上)
因上級主管需要 outlook anywhere此功能 所以現在打算升級成exchange2010(server2012 R2)

有參考過這一篇
http://ithelp.ithome.com.tw/question/10096145

大致上步驟為:
1.Exchange用UI介面安裝多功能憑證,
2.DC 設定IIS新增ssl
3.Exchange UI新增憑證
4.Exchange向DC註冊憑證,
4.Excahgne 指派服務

1.已在DC上安裝憑證伺服器 也建立好企業根CA了(IIS也一起裝了)~
2.請問設定IIS新增SSL 這方面是要怎麼設定呢?!!
已有參考過這2篇
http://irw.ncut.edu.tw/peterju/winserver.html#ssl
這邊說安裝完IIS會有ertSrv,CertControl,CertEnroll等三個虛擬目錄
但我只有ertsrv,certenroll 請問是要到哪邊建立certcontrol呢 以及沒建立會出現什麼錯誤呢

https://www.dotblogs.com.tw/hatelove/archive/2010/11/02/self-ssl-iis7.aspx
這篇有按照所說的建立完

請問空白處是要填入公司完整網域 還是剛剛建議憑證的名稱呢
因為我試了很多可能的 都會顯示SSL連線錯誤

然後這地方還有點問題~~想請問
(1)如果沒有網站 也需要設定SSL嗎 (2)公司有的部門沒有加入網域 這樣以後要用outlook收信 一定也要下載憑證才能使用exchange服務 所以要到憑證網頁下載 憑證網頁就是要用SSL這個服務功能嗎?

3.Exchange UI申請憑證指的是 在exchange的機器上也裝憑證伺服器然後申請企業次級根這樣嗎

由於之前並未有建立憑證環境的經驗,公司為了降低成本 需要我們自己建置
在網路上看了很多文章 大多是只有教怎麼建立伺服器 跟exchange03轉移10的相關步驟
對於周邊憑證建置文比較少 或是講得比較快速 所以問題會比較多一點

麻煩各位先進幫忙解答了 感恩><

2 個回答

12
raytracy
iT邦大神 1 級 ‧ 2016-01-06 11:51:47
最佳解答

kevin00181提到:
2.DC 設定IIS新增ssl

這一步是多餘的, 不需要這麼做...當你用 Exchange 管理介面去設定憑證的時候, 他自己會把正確的憑證塞進 IIS 裡面, 不用你動手...

(1)如果沒有網站 也需要設定SSL嗎

這跟有沒有網站無關, Exchange 在安裝的時候, 會自己產生一個 IIS 上的 site, 憑證是要給這個 site 用的.

(2)公司有的部門沒有加入網域 這樣以後要用outlook收信 一定也要下載憑證才能使用exchange服務

是的, 用戶都要去下載「企業根憑證」

3.Exchange UI申請憑證指的是 在exchange的機器上也裝憑證伺服器然後申請企業次級根這樣嗎

不是, 你已經有 DC 當 Enterprise Root CA 了, Exchange 只需要向 Root CA 申請憑證, 安裝在自己的機器上即可.

Exchange 憑證的申請過程:

  1. 建立 Root CA (這個你應該已經做好了)
  2. 在 Exchange 內申請憑證:
  • 在 Exchange 產出 .req 憑證申請檔
  • 將憑證申請檔送交給 Root CA 簽發新的 SSL 憑證
  • 從 Root CA 下載新簽發的 SSL 憑證
  • 將 SSL 憑證安裝到 Exchange 內
  • 將 Exchange 的服務綁定在新的 SSL 憑證上
  1. 所有用戶要去 Root CA 下載並安裝 Root 憑證在每一台電腦上 (不是 SSL 憑證喔!)
看更多先前的回應...收起先前的回應...

首先感謝 raytracy大的熱心回應:
這邊還想再請教一下~~
1.http://my-fish-it.blogspot.tw/2012/01/ss-windows-server-2008-r2-active.html
因為有參考這篇 他寫說rootCA應該拿來發放給次級CA
次級CA適合用於來發放「保護電子郵件安全」、「網站 SSL 安全連線」等憑證 所以我想才說是不是exchange那台要作次級根。 所以事實上如果只有exchange會用到憑證服務的話 只要有rootCA就可以了?!
2.將憑證申請檔送交給 Root CA 簽發新的 SSL 憑證~
其實這就是我最大的難題點 每篇文都是寫說 將申請黨送給RootCA簽發新憑證
請問『送』的這個過程是要怎麼執行操作呢?

再麻煩raytracy大大了~~非常感激你

raytracy iT邦大神 1 級 ‧ 2016-01-06 13:20:25 檢舉

**kevin00181http://my-fish-it.blogspot.tw/2012/01/ss-windows-server-2008-r2-active.html**提到:
所以我想才說是不是exchange那台要作次級根。 所以事實上如果只有exchange會用到憑證服務的話 只要有rootCA就可以了?!

那是很龐大的組織才需要那樣做, 次級 CA 的目的是要分散 Root CA 的負載, 或是授權給次級單位, 有自行管理憑證的權利, (例如:某 Root CA 下面管轄數千個分支單位, 每個單位都有自己的 IT 部門要管理憑證) 如果你的組織沒有大到那種程度, 直接從 Root CA 發憑證就夠了.

raytracy iT邦大神 1 級 ‧ 2016-01-06 13:24:50 檢舉

**kevin00181http://my-fish-it.blogspot.tw/2012/01/ss-windows-server-2008-r2-active.html**提到:
其實這就是我最大的難題點 每篇文都是寫說 將申請黨送給RootCA簽發新憑證
請問『送』的這個過程是要怎麼執行操作呢?

看圖說故事就知道了:
How to Use a Self Signed Certificate in Exchange 2010
不過這篇是在憑證申請檔產出之後, 才去安裝 Root CA, 你可以略過 Root CA 那段, 看後面就好..

謝謝Raytracy:

原來只要RootCA就可以 那我知道了

有點進去您給的連結看

但他從step16 要開啟CA網站時 選的是以https 443port開啟
但我看我的只有80 http port 請問要在哪邊可以設定加入呢

謝謝><

raytracy iT邦大神 1 級 ‧ 2016-01-06 15:26:50 檢舉

用 port 80 也可以, 不一定非要 443 不可

想再請教一下Raytracy大神:

1.因為之前公司使用exchange2003時,並未建立憑證。Server與Client端還是可以正常使用。
升級2010需建立憑證伺服器 是因為他的一些功能 EX:OWA、Anywhere等等才須建立
那如果暫不使用以上那些功能 憑證的建立還是必需的嗎
2.想請教一下設定CA的DNS查詢位址要如何操作呢?
謝謝您~~剛接觸這塊不久所以文章看完並不是很懂 一直麻煩您 謝謝><

有試著在client端 開啟IE http://網域名稱/certsrv 去安裝AD憑證

但在依序點下 要求憑證=>選擇使用者憑證後
並未出現如查詢文章中的圖


我的會跳出選擇金鑰類型 然後按提交就沒反應了

請問是還要設定什麼地方嗎 感謝您

raytracy iT邦大神 1 級 ‧ 2016-01-07 14:29:10 檢舉

kevin00181提到:
要求憑證=>選擇使用者憑證後

你應該下載「根憑證」直接給用戶安裝, 不是去申請使用者憑證. 用戶端不需要申請任何憑證, 只需安裝根憑證.

0
花輪
iT邦大師 1 級 ‧ 2016-01-06 16:51:24

順便請教Ray老師:
這個問題與2016年起MS & CABF終止發行SHA1而改為SHA2憑證是否有關連性?

問題中舊的憑證伺服器是否還在發SHA1(理論上,MS從1/1起就停發SHA1了,但SERVER若未更新的情況下,有可能還是發行舊的SHA1而非SHA2。SHA1雖停發了,但在到期前仍可繼續使用至12/31/2016。

此問題又剛好在一月初提出,所以想確認與上述是否有相關。

參考 : https://technet.microsoft.com/en-us//library/security/2880823.aspx

我要發表回答

立即登入回答