当使Exchange组织可用于外部和内部访问时,必须在服务器上安装正确的SSL扑克之星手机版官网。 

这是为了确保正确识别(可信扑克之星手机版官网)和安全访问(加密)URL端点(例如Outlook Web App和ActiveSync)。

还建议并且几乎不可避免地为Exchange Web服务分配多个主机名。至少要为SMTP,OWA和SMTP分配三个主机名 自动发现.

为Exchange使用多个主机名需要一个 主题备用名称(SAN)扑克之星手机版官网 要安装。与扑克之星手机版官网相比,SAN扑克之星手机版官网更昂贵 通配符 或单名扑克之星手机版官网。

感谢 让我们加密扑克之星手机版官网颁发机构,除了获得SSL SAN扑克之星手机版官网之外,还有一种免费的选择。是的,您没看错,它是免费的!并且在本文中,您将学习如何获取,安装和计划为Exchange Server 2019自动续订SAN SSL扑克之星手机版官网。了解如何使用PowerShell自动执行IT任务。 下载此电子书。 

要求

本文假定您具有以下先决条件。

  • Microsoft Exchange Server 2019
  • 您应该已经安装了Exchange服务器,并且已经配置了内部和外部URL。 (看到 在Exchange服务器上配置邮件流和客户端访问)
  • 包含在SAN扑克之星手机版官网中的主机的内部和外部DNS记录。特定于本文,将使用三个主机名。
    • psh-lab.gq –主要扑克之星手机版官网名称
    • psh-lab.gq
    • psh-lab.gq
  • 一个  ACME客户 Let's Encrypt CA支持。针对本文, 双赢 将使用client,因为它易于使用并且有大量文档。撰写本文时,最新版本为2.1.2.636。

如果您需要设置测试环境,则可以 要求试用Azure订阅 to 创建虚拟机 安装Exchange Server 2019和 公共DNS区域 托管您的域。您还可以从申请免费域名 freenom.org.

没有受信任的SSL扑克之星手机版官网的Exchange Server

首先,请先了解Outlook Web App的外观,然后再安装受信任的SSL扑克之星手机版官网。

The screenshot below shows that there’s a certificate error for the site //webmail.psh-lab.org. The warning shows that there is a problem with the website’s 安全 certificate and that it is unsafe.

ssl-certificate1

Outlook Web App扑克之星手机版官网错误

获取新的加密SSL SAN扑克之星手机版官网

有两种方法可以使用win-acme客户端从Let's Encrypt CA获得扑克之星手机版官网。交互式菜单驱动方法和命令行/无人值守方法。接下来,您将学习如何使用这两种方法。

在下一节中,假定win-acme客户端安装在Exchange服务器上的* c:目录中。

使用交互式菜单

交互式菜单是请求SSL扑克之星手机版官网的推荐方法,尤其是在首次使用时。这是因为此方法沿过程提供了提示和描述,可以使您熟悉该工具的功能。

首先,打开提升权限的命令提示符,然后将工作目录更改为安装win-acme客户端的目录,然后运行 wacs.exe。您将看到一个交互式菜单。

没有用于设置Exchange扑克之星手机版官网的“简单”菜单,因此,请输入 M 创建具有完整选项的新扑克之星手机版官网。

ssl-certificate3

Choose 创建具有完整选项的新扑克之星手机版官网。

ssl-certificate4

选择创建新扑克之星手机版官网将具有完整选项。

接下来,将要求您选择主机名列表将如何包含在要请求的扑克之星手机版官网中。输入 2 选择手动输入选项。

ssl-certificate5

选择选项以手动输入主机名

ssl-certificate6

选择以手动输入主机名

You are prompted for the list of hostnames. 输入 multiple hostnames separated with a comma. In this example, the hostnames used are mail.psh-lab.gq,webmail.psh-lab.gq,autodiscover.psh-lab.gq

默认情况下,该顺序中的第一个主机名将被选为主扑克之星手机版官网名称。

ssl-certificate7

指定要包含在SAN扑克之星手机版官网中的主机名

在下一个提示符下,将显示建议的扑克之星手机版官网友好名称(与扑克之星手机版官网名称不同),按 Enter 接受默认值。

ssl-certificate8

接受默认的友好名称

可用的方法列表,用于验证为SAN扑克之星手机版官网添加的域的所有权。输入 2 选择使用[http-01]推荐的验证方法的选项。

ssl-certificate9

选择推荐的所有权验证方法

选择用于扑克之星手机版官网签名请求的加密密钥类型。默认选项是RSA密钥,也建议使用。输入2选择RSA密钥。

ssl-certificate-10

为扑克之星手机版官网签名请求选择RSA密钥

There is more that one way to store the requested certificate. But, in this example, the Windows Certificate Store will be selected. 输入 3 and press Enter.

当询问是否要添加另一种存储扑克之星手机版官网的方式时,输入 3 again to skip 然后按 Enter.

ssl-certificate-11

仅选择Windows扑克之星手机版官网存储

接下来,将要求您选择在Windows扑克之星手机版官网存储区中安装扑克之星手机版官网后要执行的一个或多个操作。选择选项 1 创建或更新HTTPS绑定,以及 1 to select the 默认网站.

ssl-certificate-12

选择选项以更新默认网站的https IIS绑定

Exchange Server前端站点托管在IIS的默认网站中。

当要求添加其他安装步骤时,选择 2启动外部脚本或程序。然后,在提示您输入脚本的路径时,输入此路径 ./Scripts/ImportExchange.ps1。

ssl-certificate-13

选择以启动脚本并提供脚本的路径

剧本 ImportExchange.ps1 包含在win-acme客户端的安装中,并且位于子文件夹中 剧本。该脚本的功能是将扑克之星手机版官网应用于OWA,SMTP和IMAP等Exchange服务。

接下来,将要求您输入指定脚本的参数,在下面输入此行。在此示例中,扑克之星手机版官网将应用于IIS,SMTP和IMAP。

'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'

仅当要添加或删除扑克之星手机版官网将应用到的服务时,才需要更改第二个参数值。将所有其他参数值保留为默认值。请参阅下面的示例以供参考。

ssl-certificate-14

输入 the script parameter values

双赢客户端将继续执行以下任务:

  • 提交并验证请求
  • 在扑克之星手机版官网存储区中获取并安装扑克之星手机版官网。默认情况下,扑克之星手机版官网安装到* Local Machine扑克之星手机版官网存储中。
  • 添加站点的HTTPS绑定以使用新扑克之星手机版官网。
  • 在Windows任务计划程序中创建一个新的计划任务,以自动更新扑克之星手机版官网。
ssl-certificate-15

双赢请求并安装SSL扑克之星手机版官网

由Let's Encrypt CA颁发的SSL扑克之星手机版官网自颁发之日起仅有效90天。默认情况下,win-acme客户端仅续订超过55天的扑克之星手机版官网。

使用命令行

您已经在上一节中的交互式菜单中看到了如何获取和安装SAN扑克之星手机版官网。现在,您将学习到相同的内容,但是使用命令行代替。

要使用命令行选项请求SAN扑克之星手机版官网,请复制以下代码并将其粘贴到提升的CMD提示符下。工作目录必须是win-acme客户端的安装文件夹。在此示例中,win-acme客户端安装在 C:。

不要忘记更改在–主机参数下面的命令将执行与交互式方法相同的确切步骤,但无需任何确认。

wacs.exe --target manual --host mail.psh-lab.gq,webmail.psh-lab.gq,autodiscover.psh-lab.gq --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --installationsiteid 1 --script "./Scripts/ImportExchange.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'"

要了解有关命令行选项的更多信息,请访问 Win-ACME命令行参数参考 page.

测试Exchange Server SAN SSL扑克之星手机版官网

有几种方法可以在Exchange Server中测试新安装的SAN SSL扑克之星手机版官网。在本部分中,您将学习如何以几种不同的方式测试和确认扑克之星手机版官网。

使用在线SSL检查器工具

有许多在线工具可用于检查SSL扑克之星手机版官网,其中之一是 DigiCert®SSL安装诊断工具.

转到 DigiCert®SSL安装诊断工具 网站,然后输入SAN扑克之星手机版官网中的主机名。以下屏幕截图显示了mail.psh-lab.gq的SSL测试结果。

ssl-certificate-16

SSL扑克之星手机版官网有效且已正确安装

使用Microsoft远程连接分析器

当您访问 Microsoft远程连接分析器 页,您将了解到Exchange Server有很多测试可用。在此示例中, Outlook连接 test will be used.

下面的示例显示Outlook连接测试结果成功并带有警告。经过进一步检查,该警告仅与确保已选中Windows Update中的“更新根扑克之星手机版官网”选项有关。

ssl-certificate-17

连接测试成功

使用Outlook自动发现

要测试,请在Outlook中创建一个新帐户。输入帐户的电子邮件地址时,Outlook应该能够自动发现Exchange服务器设置并在计算机上设置Outlook配置文件。

ssl-certificate-18

Outlook自动发现

浏览Outlook Web App

在本文开头,您已经了解了Outlook Web App网站在安装SSL扑克之星手机版官网之前如何显示扑克之星手机版官网警告。安装SAN扑克之星手机版官网后,导航到URL //webmail.psh-lab.gq 不再显示扑克之星手机版官网错误。请参见下面的示例屏幕截图。

ssl-certificate-19

Outlook Web App扑克之星手机版官网有效且受信任

概要

在本文中,您已经学习了如何使用win-acme客户端来请求,安装和计划Exchange Server 2019的Let's Encrypt SSL SAN扑克之星手机版官网的续订。您已经学习了这样做的两个选项,它们是交互式菜单和命令行方法。

此外,您还学习了几种不同的方法来测试和确认SAN扑克之星手机版官网是否已正确安装并由Exchange服务使用。本文提供的步骤仅涵盖将扑克之星手机版官网安装到单个Exchange 2019服务器的过程。

如果您有多个Exchange服务器部署,则将提供一个导出扑克之星手机版官网并将其导入组织中其他Exchange服务器的过程。

感谢您的阅读!

主题: 安全IT洞察电源外壳

资源: //blog.ipswitch.com/install-free-lets-encrypt-ssl-san-certificate-for-exchange-2019