项目概览
| 步骤 | 内容 |
|---|---|
| 1 | ECP 申请新证书,安装、分配服务 |
| 2 | IIS 443 绑定证书确认(非常重要!)✅ |
| 3 | SMTP 连接器证书确认 |
| 4 | POP/IMAP(如果启用)证书确认 |
| 5 | 外部访问验证(OWA、ECP、Outlook) |
| 6 | AuthConfig 证书绑定更新(非常重要!) ✅ |
| 7 | 设置下次到期提醒 |
详细流程
1. 登录 ECP 后台
- 打开浏览器,访问:
https://<Exchange 服务器 FQDN 或 IP 地址>/ecp - 用管理员账号(Exchange 管理权限)登录。
2. 进入证书管理界面
- 左边点击 “服务器”(Servers)
- 再点击上方的子菜单 “证书”(Certificates)
3. 选择需要续订的证书
- 选择你要续订的服务器(上方选择服务器名称)
- 找到 快过期 或 即将过期 的证书(一般状态栏会提示)
- 点击上方的 铅笔图标(编辑)打开证书详情。
4. 创建新的证书请求(CSR)
⚡Exchange 不能直接 “续订”,而是重新申请一个新证书。
- 在证书详情界面,点击
“续订证书 (Renew)” 按钮(如果没有"续订",那就要点"新建证书请求") - 填写:
- 友好名称(Friendly Name)→ 任意好记的名字(比如 “Exchange_2025”)
- 选中需要绑定的服务(IIS、SMTP 等)
- 下一步,生成一个 .req 文件(证书申请文件)
- 把这个
.req文件下载保存。
5. 提交 CSR 到 CA 申请证书
- 把
.req文件提交到你的证书颁发机构(CA)
(可以是内部 CA,比如 AD CS,也可以是公网 CA 比如 DigiCert、GoDaddy) - 获取返回的 .cer 证书文件(证书颁发完成)
6. 在 ECP 中完成证书挂载
- 回到 ECP 证书界面
- 找到你之前生成请求的那条证书记录(显示 “挂起请求” 状态)
- 选中它,点击上方的 “完成挂起请求 (Complete)”。
- 上传刚才拿到的
.cer文件。
7. 分配证书给服务
证书安装好后,还要分配给对应的服务!
- 选中新安装好的证书
- 点击上方的 编辑(铅笔图标)
- 在证书详情页里,点击 “服务”,勾选:
- IIS(Web 访问、OWA)
- SMTP(邮件传输)
- POP/IMAP(如果有用的话)
- 点击保存。
8. 检查
- 确认证书生效时间和绑定的服务正确。
- 测试 OWA / ECP / Outlook 连接 是否正常,无证书错误提示。
关键要点
签发证书后,需要检查【IIS】和【AuthConfig】是否已经更新绑定到最新证书。
1. IIS 管理器绑定最新证书
- 打开 IIS 管理器
- 右键
Exchange Back End - 编辑绑定
- 选择类型为
https的项目 - 点击右侧的【编辑】
- 在【SSL 证书】位置选择最新签发的证书
- 点击【确定】
- 关闭并重新打开
Exchange Management Shell后即可正常连接到远程服务器
2. AuthConfig 绑定最新证书
什么是 AuthConfig 证书?
- Exchange 内部用来处理 OAuth、现代认证、Autodiscover、Exchange Web Services(EWS)等身份验证的。
- AuthConfig 绑定的是一个内部用的 OAuth 证书。
- 它默认在安装 Exchange 时生成一次,
但如果证书续订了(比如 IIS 证书),而 AuthConfig 还是指向老证书,
那 OAuth 或 EWS、Autodiscover 等有时候会因为证书失效而出现异常。
比如:
- Outlook 无法自动发现账户
- 手机邮件同步失败
- Exchange 混合部署(Hybrid)失败
- EWS 客户端异常
🔔 特别提醒:AuthConfig 如果不更新,问题不会马上爆发,而是到了原证书真正失效(到期日之后)时才突然出错,非常隐蔽!
2.1 通过 EMS 窗口执行以下命令查询当前所有证书概览或详细信息;
Get-ExchangeCertificate | FL或
Get-ExchangeCertificate | FT Thumbprint,Subject,NotAfter,Services2.2 通过 EMS 窗口执行以下命令确认 NotAfter(过期时间)和 Thumbprint(指纹编码)是最新证书;
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List2.3 如果不是,请依次执行以下命令强制切换到最新证书;
Set-AuthConfig -NewCertificateThumbprint < 最新证书指纹编码序列> -NewCertificateEffectiveDate (Get-Date)Set-AuthConfig -PublishCertificateSet-AuthConfig -ClearPreviousCertificateIISReset
Set-AuthConfig -NewCertificateThumbprint:设定新证书的指纹
Set-AuthConfig -PublishCertificate:将证书信息发布到 AD(Hybrid 认证等依赖它)
:清除旧的证书引用(可选,但建议做)Set-AuthConfig-ClearPreviousCertificate
IISReset:重启 IIS 以确保全局生效
2.4 再次查询当前证书指纹,如果现在返回的是新证书的信息,说明更新成功。否则,再次重新尝试。
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List故障修复
Exchange 签发证书后无法登录 OWA 和 ECP 以及 EMS 无法连接远程服务器
友情提示:本站所有文章,如无特殊说明或标注,均为何星星原创发布。与此同时,趋于近年来本站的文章内容频繁被他站盗用与机器采集,现已全局禁用网站文字内容操作,了解详情或转载文章请 点此 继续!
0 条评论