Exchange系列—利用组策略配置信任自签名证书
安装集线器传输服务器、统一消息服务器、客户端访问服务器、边缘传输服务器是都安装了自签名证书,但默认安装好的自签名证书的颁发机构是不受信任的,因此必须将自签名证书的证书颁发机构添加到客户端的受信任证书颁发机构位置中,这里通过组策略来将颁发机构配置到域中的计算机上。
查看各服务器证书
自签名证书都是不受信任的;
首先,将这些服务器的自签名证书导出来;
在证书中详细信息中,选择复制到文件
进入证书导出向导
下一步
是否导出私钥,选择 不,不导出私钥
下一步
选择导出格式,默认DER编码二进制X.509
下一步
指定导出文件名
下一步
选择 完成
导出成功
用同样的方法将其他服务器的自签名证书也导出来;
导出证书后;
再来创建一个域策略,在AD用户和计算机的域属性中的组策略项;
新建一条组策略,命名:Exchange自签名证书,命名最好是能表明该条策略的用途,方便识别;
新建策略后,再来配置策略,这里只要配置受信任的证书颁发机构,依次展开到计算机配置—Windows设置—公钥策略—受信任的证书颁发机构里;再将导出来的自签名证书导入到这个位置;
右键,选择导入;
进入导入向导
下一步
指定要导入的文件
下一步
选择证书存储位置
下一步
选择 完成
导入成功
用同样方式将其他自签名证书也导入到受信任的证书颁发机构;
配置好组策略后;
在重启所有Exchange服务器,当然边缘传输服务器除外,因为它不是域成员,当然组策略也不会被应用到边缘传输服务器上,这里要单独为边缘传输服务器将自签名证书导入到受信任的证书颁发机构位置中,这里要说明,边缘服务器的自签名证书是用于加密与集线器传输服务器的SMTP会话,以及为ADAM与AD的LDAP会话进行加密,其LDAP会话是以集线器传输服务器作为中介的,因为边缘传输服务器本身是无法联系到域控制器的;因此在边缘服务器上只要到导入所有属于该站点的集线器服务器的自签名证书,和本身的自签名证书即可。
完成所有操作后;
再来查看证书
在内部计算机上:
证书已是受信任的;
在受信任的证书颁发机构位置也可以看到这些Exchange服务器得自签名证书
在边缘传输服务器上:
证书已受信任
同样在受信任的证书颁发机构位置也添加了边缘和集线器传输服务器的自签名证书
转载于:https://blog.51cto.com/582729688/745846