当使Exchange组织可用于外部和内部访问时,必须在服务器上安装正确的SSL证书。 

这是为了确保正确识别(可信证书)和安全访问(加密)URL端点(例如Outlook Web App和ActiveSync)。

还建议并且几乎不可避免地为Exchange Web服务分配多个主机名。至少要为SMTP,OWA和SMTP分配三个主机名 自动发现.

为Exchange使用多个主机名需要一个 主题备用名称(SAN)证书 要安装。与证书相比,SAN证书更昂贵 通配符 或单名证书。

感谢 让我们加密证书颁发机构,除了获得SSL SAN证书之外,还有一种免费的选择。是的,您没看错,它是免费的!并且在本文中,您将学习如何获取,安装和计划为Exchange Server 2019自动续订SAN SSL证书。了解如何使用PowerShell自动执行IT任务。 下载此电子书。 

要求

本文假定您具有以下先决条件。

  • Microsoft Exchange Server 2019
  • 您应该已经安装了Exchange服务器,并且已经配置了内部和外部URL。 (看到 在Exchange服务器上配置邮件流和客户端访问)
  • 包含在SAN证书中的主机的内部和外部DNS记录。特定于本文,将使用三个主机名。
    • psh-lab.gq –主要证书名称
    • psh-lab.gq
    • psh-lab.gq
  • 一个  ACME客户 Let's Encrypt CA支持。针对本文, 双赢 将使用client,因为它易于使用并且有大量文档。撰写本文时,最新版本为2.1.2.636。

如果您需要设置测试环境,则可以 要求试用Azure订阅 to 创建虚拟机 安装Exchange Server 2019和 公共DNS区域 托管您的域。您还可以从申请免费域名 freenom.org.

没有受信任的SSL证书的Exchange Server

首先,请先了解Outlook Web App的外观,然后再安装受信任的SSL证书。

The screenshot below shows that there’s a certificate error for the site //webmail.psh-lab.org. The warning shows that there is a problem with the website’s 安全 certificate and that it is unsafe.

ssl-certificate1

Outlook Web App证书错误

获取新的加密SSL SAN证书

有两种方法可以使用win-acme客户端从Let's Encrypt CA获得证书。交互式菜单驱动方法和命令行/无人值守方法。接下来,您将学习如何使用这两种方法。

在下一节中,假定win-acme客户端安装在Exchange服务器上的* c:目录中。

使用交互式菜单

交互式菜单是请求SSL证书的推荐方法,尤其是在首次使用时。这是因为此方法沿过程提供了提示和描述,可以使您熟悉该工具的功能。

首先,打开提升权限的命令提示符,然后将工作目录更改为安装win-acme客户端的目录,然后运行 wacs.exe。您将看到一个交互式菜单。

没有用于设置Exchange证书的“简单”菜单,因此,请输入 M 创建具有完整选项的新证书。

ssl-certificate3

Choose 创建具有完整选项的新证书。

ssl-certificate4

选择创建新证书将具有完整选项。

接下来,将要求您选择主机名列表将如何包含在要请求的证书中。输入 2 选择手动输入选项。

ssl-certificate5

选择选项以手动输入主机名

ssl-certificate6

选择以手动输入主机名

You are prompted for the list of hostnames. 输入 multiple hostnames separated with a comma. In this example, the hostnames used are mail.psh-lab.gq,webmail.psh-lab.gq,autodiscover.psh-lab.gq

默认情况下,该顺序中的第一个主机名将被选为主证书名称。

ssl-certificate7

指定要包含在SAN证书中的主机名

在下一个提示符下,将显示建议的证书友好名称(与证书名称不同),按 Enter 接受默认值。

ssl-certificate8

接受默认的友好名称

可用的方法列表,用于验证为SAN证书添加的域的所有权。输入 2 选择使用[http-01]推荐的验证方法的选项。

ssl-certificate9

选择推荐的所有权验证方法

选择用于证书签名请求的加密密钥类型。默认选项是RSA密钥,也建议使用。输入2选择RSA密钥。

ssl-certificate-10

为证书签名请求选择RSA密钥

There is more that one way to store the requested certificate. But, in this example, the Windows Certificate Store will be selected. 输入 3 and press Enter.

当询问是否要添加另一种存储证书的方式时,输入 3 again to skip 然后按 Enter.

ssl-certificate-11

仅选择Windows证书存储

接下来,将要求您选择在Windows证书存储区中安装证书后要执行的一个或多个操作。选择选项 1 创建或更新HTTPS绑定,以及 1 to select the 默认网站.

ssl-certificate-12

选择选项以更新默认网站的https IIS绑定

Exchange Server前端站点托管在IIS的默认网站中。

当要求添加其他安装步骤时,选择 2启动外部脚本或程序。然后,在提示您输入脚本的路径时,输入此路径 ./Scripts/ImportExchange.ps1。

ssl-certificate-13

选择以启动脚本并提供脚本的路径

剧本 ImportExchange.ps1 包含在win-acme客户端的安装中,并且位于子文件夹中 剧本。该脚本的功能是将证书应用于OWA,SMTP和IMAP等Exchange服务。

接下来,将要求您输入指定脚本的参数,在下面输入此行。在此示例中,证书将应用于IIS,SMTP和IMAP。

'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'

仅当要添加或删除证书将应用到的服务时,才需要更改第二个参数值。将所有其他参数值保留为默认值。请参阅下面的示例以供参考。

ssl-certificate-14

输入 the script parameter values

双赢客户端将继续执行以下任务:

  • 提交并验证请求
  • 在证书存储区中获取并安装证书。默认情况下,证书安装到* Local Machine证书存储中。
  • 添加站点的HTTPS绑定以使用新证书。
  • 在Windows任务计划程序中创建一个新的计划任务,以自动更新证书。
ssl-certificate-15

双赢请求并安装SSL证书

由Let's Encrypt CA颁发的SSL证书自颁发之日起仅有效90天。默认情况下,win-acme客户端仅续订超过55天的证书。

使用命令行

您已经在上一节中的交互式菜单中看到了如何获取和安装SAN证书。现在,您将学习到相同的内容,但是使用命令行代替。

要使用命令行选项请求SAN证书,请复制以下代码并将其粘贴到提升的CMD提示符下。工作目录必须是win-acme客户端的安装文件夹。在此示例中,win-acme客户端安装在 C:。

不要忘记更改在–主机参数下面的命令将执行与交互式方法相同的确切步骤,但无需任何确认。

wacs.exe --target manual --host mail.psh-lab.gq,webmail.psh-lab.gq,autodiscover.psh-lab.gq --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --installationsiteid 1 --script "./Scripts/ImportExchange.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'"

要了解有关命令行选项的更多信息,请访问 Win-ACME命令行参数参考 page.

测试Exchange Server SAN SSL证书

有几种方法可以在Exchange Server中测试新安装的SAN SSL证书。在本部分中,您将学习如何以几种不同的方式测试和确认证书。

使用在线SSL检查器工具

有许多在线工具可用于检查SSL证书,其中之一是 DigiCert®SSL安装诊断工具.

转到 DigiCert®SSL安装诊断工具 网站,然后输入SAN证书中的主机名。以下屏幕截图显示了mail.psh-lab.gq的SSL测试结果。

ssl-certificate-16

SSL证书有效且已正确安装

使用Microsoft远程连接分析器

当您访问 Microsoft远程连接分析器 页,您将了解到Exchange Server有很多测试可用。在此示例中, Outlook连接 test will be used.

下面的示例显示Outlook连接测试结果成功并带有警告。经过进一步检查,该警告仅与确保已选中Windows Update中的“更新根证书”选项有关。

ssl-certificate-17

连接测试成功

使用Outlook自动发现

要测试,请在Outlook中创建一个新帐户。输入帐户的电子邮件地址时,Outlook应该能够自动发现Exchange服务器设置并在计算机上设置Outlook配置文件。

ssl-certificate-18

Outlook自动发现

浏览Outlook Web App

在本文开头,您已经了解了Outlook Web App网站在安装SSL证书之前如何显示证书警告。安装SAN证书后,导航到URL //webmail.psh-lab.gq 不再显示证书错误。请参见下面的示例屏幕截图。

ssl-certificate-19

Outlook Web App证书有效且受信任

概要

在本文中,您已经学习了如何使用win-acme客户端来请求,安装和计划Exchange Server 2019的Let's Encrypt SSL SAN证书的续订。您已经学习了这样做的两个选项,它们是交互式菜单和命令行方法。

此外,您还学习了几种不同的方法来测试和确认SAN证书是否已正确安装并由Exchange服务使用。本文提供的步骤仅涵盖将证书安装到单个Exchange 2019服务器的过程。

如果您有多个Exchange服务器部署,则将提供一个导出证书并将其导入组织中其他Exchange服务器的过程。

感谢您的阅读!

主题: 安全IT洞察电源外壳

资源: //blog.ipswitch.com/install-free-lets-encrypt-ssl-san-certificate-for-exchange-2019