证书生成

以下步骤用以生成一张证书：第一步：发起证书请求：=============================在EMS 中运行以下命令来生成一个证书请求：New-Exchangecertificate -

以下步骤用以生成一张证书：

第一步：发起证书请求：

=============================

在EMS 中运行以下命令来生成一个证书请求：

New-Exchangecertificate -generaterequest -path c:�rtrequest.txt -domainname <公网FQDN>, , , autodiscover.domain.com, autodiscover.domain.local, autodiscover, domain.com, domain.local -PrivatekeyExportable:$True -force

例如，您公司的公网FQDN 为"mail.contoso.com", 内部EXCHANGE2007服务器的FQDN 是"server.contoso.local" NetBIOS名是"server". 上述命令即为：

New-Exchangecertificate -generaterequest -path c:�rtrequest.txt -domainname mail.contoso.com, server.contoso.local, server, autodiscover.contoso.com, autodiscover.contoso.local, autodiscover, contoso.com, contoso.local -PrivatekeyExportable:$True -force

通过执行此条命令，即为mail.contoso.com 申请了一张证书，而其余的名称也被涵盖在了SAN （Subject Alternative Name）区域中。

第二步：生成一张证书

========================

请根据上面的证书请求生成一张证书。如果你决定从第三方证书机构购买一张证书，请将上面的证书请求发往第三方机构，他们会为你生成一张证书。

第三步: 导入证书

=======================

将证书保存在Exchange2007服务器上，在EMS 中运行以下命令以导入这张证书：

Import-ExchangeCertificate -Path c:�rtificates�rtificate.cer

注意：请根据实际情况选择导入证书的路径。

第四步：启用证书

======================

在EMS 中运行以下命令以启用这张证书

Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services

"IIS"

注意: Thumbprint参数指的是您新生成证书的唯一标示符。可通过Get-ExchangeCertificate 命令来查看。

之后，您需要在每一台客户机上安装新生成的这张证书的根证书才能使所有客户机信任这张证书。 证书装完之后，请运行OWA 或ACTIVESYNC 来查看证书的运行情况。

生成、导入Exchange2007证书（SSL 多主机名）

如需转载，请标注文章源地址，谢谢。

由于Exchange 安装后，默认使用的是自签名证书，SSL 无法正常使用。最明显一个现象就是访问https://mail.yourdomain.com/owa时提示证书错误，这样会给用户带来很不要的体验。本文一步一步来完成Exchange 服务器证书的生产、导入，并使用多主机名，这样访问https 的OWA 就不会提示证书错误啦~~~ 环境：

域：zhengda.corp

客户端访问服务器（已加入上述域）FQDN ：exg07.zhengda.corp

该服务器外部访问域名：mail.zhengda.me

一、生成申请Exchange 证书的密文。

在Exchange 服务器上

运行“Exchange 命令行管理程序”

输入以下语句：

New-ExchangeCertificate -GenerateRequest -Path

c:mail_zhengda_me.csr -KeySize 2048 -SubjectName "c=CN,

s=ShangHai, l=ShangHai, o=ShangHai, ou=IT, cn=mail.zhengda.me" -DomainName exg07.zhengda.corp, exg07, autodiscover.zhengda.me, mail.zhengda.me -PrivateKeyExportable $True

（红色标注的是主机名，微软建议把Exchange 服务器的NetBios 、FQDN 和autodiscover.yourdomian.com 都放到主机名那里，否则访问https 时会提示证书错误或者SSL 加密无法正常使用）

（蓝色标注的按需修改）

运行上述语句后，会在C 盘根目录下生成mail_zhengda_me.csr这个文件，使用记事本打开，可以看到一大串东东，这就是生成证书需要的密文。(

不包含上

下两个提示语句)

二、访问CA ，导出证书。 （网址一般是 http://ca的机器名/certsrv）

点击申请证书

点击高级证书申请

点击如图选项

粘贴密文到下列文本框，并选中“WEB 服务器”

如下图

保存证书

证书信息

三、导入Exchange 证书

在Exchange 服务器上

运行“Exchange 命令行管理程序”

输入以下语句：

Import-ExchangeCertificate -path c:�rtnew.cer | enable-exchangecertificate -services "IIS,POP,IMAP" 查看IIS 的服务器证书，证书已分配，如下图：