上海青羽电脑科技有限公司

技术园地

TECHNOLOGY

技术园地

靠谱邮件技术分享:如何续订Exchange中的自签名证书

发布时间:2024-10-29  /  浏览次数:127次

最近靠谱邮件小伙伴发现自己的Microsoft Exchange Server Auth Certificate证书已过期,导致用户在使用过程中报警。

下面来详细介绍下怎么续订这些证书,安装 Exchange 服务器时会默认创建三张自签名证书:

  • Microsoft Exchange Server Auth Certificate用于 OAuth 服务器间身份验证和集成。
  • Microsoft Exchange 用于加密 Exchange 服务器、同一台计算机上的 Exchange 服务以及从客户端访问服务代理到邮箱服务器上的后端服务的客户端连接的内部通信。
  • WMSVC由 IIS 中的 Web 管理服务使用,用于启用远程管理 Web 服务器及其关联的网站和应用程序。

 

当这些证书将要过期或已过期,可使用以下方法续订:

Microsoft Exchange Server Auth Certificate

若证书尚未过期:

1. 使用Exchange管理中心(EAC)或命令行续订证书
此处以EAC为例:服务器 > 证书 >  Microsoft Exchange Server Auth Certificate > 续订

 

2. 复制续订后证书的指纹(EAC中选中证书 > 常规 > 复制指纹),并运行以下命令行

$date = get-date

指定新证书及其生效日期

Set-AuthConfig -NewCertificateThumbprint "XXXXXXXX" -NewCertificateEffectiveDate $date

发布证书

Set-AuthConfig -PublishCertificate

3. 以管理员身份打开cmd并运行iisreset使更新立即生效

 

若证书已经过期:

1. 仍使用Exchange管理中心(EAC)或命令行续订证书。

请注意:此时续订会创建另一个名为Microsoft Exchange Server Auth Certificate的证书。该证书的有效期为5年,具有新的指纹,并且仅在续订了证书的服务器上存在。

 

2. 复制新证书的指纹,并运行以下命令行

$date = get-date

Set-AuthConfig -NewCertificateThumbprint "XXXXXXX" -NewCertificateEffectiveDate $date

Set-AuthConfig -PublishCertificate

从配置中删除旧的过期证书

Set-AuthConfig -ClearPreviousCertificate

由于我们已经删除了对过期证书的所有引用,因此可将其从Exchange服务器中删除。

Remove-ExchangeCertificate -thumbprint XXXXXXXX

 

3. 以管理员身份打开cmd并运行iisreset使更新立即生效。

请注意:在大型环境中,可能需要等待长达24小时才能完成上面的续订步骤。
最后,续订步骤全部完成,检查证书是否已安装在每台Exchange服务器上:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate

应在每台Exchange服务器上收到如上所述的结果,所有服务器上的指纹都应相同。

Microsoft Exchange (过期,未过期续订方法一致)

1. 使用Exchange管理中心(EAC)或命令行续订证书

此处以命令行为例:


Get-ExchangeCertificate -Thumbprint XXXXXXX | New-ExchangeCertificate -Force -PrivateKeyExportable $true


2. 为这张证书分配IIS服务

3. 删除旧证书

Remove-ExchangeCertificate -thumbprint XXXXXXXX

4. 在IIS manager中,将新证书添加到后端绑定。

左侧选择Exchange Back End > Bindings >  444端口 > 选择Microsoft Exchange

5. 以管理员身份打开cmd并运行iisreset使更新立即生效

 

友情提示:

自签名证书普遍存在严重的安全漏洞,极易受到攻击,而且通常不受浏览器信任。因此,不建议大家使用自签名证书,以免造成巨大的安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统。而受信任的SSL证书就不存在这个情况。
以上仅供参考,如需咨询购买受信任的SSL证书可联系我们s@corp-emial.com,选购我们靠谱邮件的邮件SSL安全证书
一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603