九、架设证书服务器
exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有SSL证书,也能安装exchange2010,也能使用owa,但是会不断有告警出现。所以,要先架设证书服务器,自己给自己发证书。
1、服务器管理器—单击角色—右边添加角色—下一步—勾选active directory证书服务
2、点击下一步后,告诉你如果要架设证书服务器,就不能够再修改服务器的名字和域了,免得骗子证书满天飞。再次点击下一步。
3、默认只有安装证书颁发机构,除此之外,联机响应程序、web注册功也可以安装,web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装,要么需要其他环境支持,都暂时不用安装了。点击下一步。
4、安装类型里面选择企业。
有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个。(这句话完全是抄袭别人的,抄袭起来果然比自己打字轻松)简单说,企业更牛。
必须是 Domain Admins 组的成员或者是具有 AD DS 写入权限的管理员才能安装企业根 CA。我们一直在使用administrator进行操作,它当然具有这个权限。
ca类型是根ca
5、设置私钥
新建私钥,默认设置,勾选允许交互操作,点击下一步。
6、配置ca名称,默认,点击下一步。证书有效期,默认5年,点击下一步。数据库位置和日志位置默认,点击下一步。
7、确认,安装。告警信息再次提醒部署了ca服务器后就不能修改计算机名称和域了。
8、完成安装。
9、开始—管理工具—证书颁发机构(certsrv.msc),就可以打开证书服务器管理了。如果在安装IIS的时候没有启用asp,当安装完毕证书服务和web注册后也,也会开启asp.net和asp服务。
10、如果要安装余下的证书服务。控制面板—打开或关闭windows功能—展开角色—actice directory 证书服务 右键点击—添加角色服务
11、勾选想要安装的其他角色服务,该选项如果有附带角色服务要求,点击 添加所需的角色服务即可。
证书服务器的其他角色服务可能更好用,不过我这里没有继续添加了。
12、安装了web注册后,就可以在开始—管理工具—internet信息服务(IIS)管理器—网站—default web site—点击右侧 “查看应用程序”看到/certsrv程序已经被添加了。
13、ie中输入192.168.1.61/certsrv,出现登陆框,(使用administrator和xitongguanliyuanmima0)就可以登录证书服务了。这里暂时不登陆,等到准备好证书申请文件后,再登陆。
14、升级后重启服务器。
15、查看证书服务器和证书
在开始—管理工具—点证书颁发机构—右键点击omohome-omoserver-ca—选属性,可以看到0号证书,这是证书服务器颁发给自己的根证书。
点击查看证书,可以看到详细信息。
展开颁发的证书,可以看到颁发给域控服务器的2号证书,这份证书在安装了证书服务器,并重启了以后,才会颁发,重启之前是看不到的。
展开服务器管理器—web服务器(IIS)—点击internet信息服务(IIS)管理器—右侧展开omoserver—点开服务器证书(可以在筛选里找证书),可以看到刚才的两个证书,他们默认的到期时间是不一样的。第一个是颁发给域控的证书,第二个是颁发给证书服务器自己的证书。
十、启用站点的ssl
现在完成了IIS、证书服务器的架设,服务器里已经有两个证书,可以试验开启站点的ssl了。
1、开始—管理工具—internet 信息服务(IIS)管理器—omoserver—网站—default web site—右侧点击绑定—添加—类型选择https—ssl证书从我们现有的两个证书中随便选一个,确认后就打开了ssl。
现在用192.168.1.61来访问主页,还是原状保持不变。如果使用https://192.168.1.61来访问就会发生变化。
这是因为我们刚才绑定的ssl证书是给域控服务器发放的,与输入的192.168.1.61不匹配,所以出现一个警告,点击继续浏览此网站,可以看到页面,但是地址框变成了红色,表示站点证书异常,需要小心。点击证书错误,可以查看解释和证书内容。
2、现在,通过http://192.168.1.61和https://192.168.1.61都可以访问,但在完成exchange的部署后,http访问就会失效,只能通过https来访问。打开开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—ssl设置,当完成exchange的架设后,ssl设置将被默认勾选。双击ssl设置,如果我们勾选这里的要求ssl,那么我们的网站也不能通过http来访问了。在exchange部署完成后,如果不想麻烦,可以在这里取消ssl的勾选,然后点应用,或者在站点的绑定里面删除掉https的绑定。
十一、为站点制作证书申请、申请证书、安装证书
在架设好证书服务器后,可以给站点制作、申请、安装一个证书来保证ssl的使用。
ssl本证书来是为了提高安全性,为了没有告警关闭这个选项不是最好的解决办法,应该通过安装证书来保证ssl证书的使用。有两个方法得到证书,一是向全球公认的证书提供商申请证书然后安装,一是自己架设证书服务器给自己发证书。我们前面已经建设好了证书服务器,可以向自己的服务器申请证书。
申请购买地址:http://www.ert7.com/symantecs.html
CA即Certificate Authority ,也就是证书授权中心,Internet 服务器证书由公共证书颁发机构 (CA) 颁发。若要获取 Internet 服务器证书,首先要向 CA 发送申请,然后安装从 CA 发送来的 Internet 服务器证书。
1、打开 IIS 管理器,点击omoserver2,中间IIS栏目下找到服务器证书,双击(也可以在筛选中输入”证书”快速查找。)
2、在右边”操作”窗格中,单击”创建证书申请”。
3、在”申请证书”向导的”可分辨名称属性”页上,填写信息,然后单击”下一步”。这里写的证书名称必须和网站的名称一致。比如,想要认证的网站叫做omoserver2.omohome.com,那么名称就一定要填写这个。即使192.168.1.61与它指向的是同一个页面,也不能填写成192.168.1.61,否则在使用中会出现客户端输入的网站名字与证书名字不符合,认证告警的情况。其他内容都可以随便填写。
4、加密默认,位长默认,单击”下一步”。
5、在”文件名”页上的”为证书申请指定一个文件名”文本框中,键入一个文件名;可以单击该页上的浏览按钮 (…) 来指定保存位置和名字。我将证书放在我的文档下面,名字叫做omo的证书申请文件,默认是txt文件。
6、到我的文档里面一看,一个证书申请文件做出来了。打开证书,看到一大堆XXX文字,这是加密了的内容。然后,如果有钱有闲,去国际公认的证书发行公司申请证书吧。证书多少钱一个?不知道。申请文件发给谁?不知道。多少时间证书做好发回来?不知道。貌似一个网上缴税的ca证书是80元,貌似taobao的证书不要钱,貌似盗版服务器搞证书很纠结。
还是将这个文件发到我们自己的证书服务器里面去认证吧。
7、证书申请文件“omo的证书申请文件.txt”已经准备好,放在我的文档了;证书服务器已经架设好,可以web访问了。现在开始申请证书。
A、先在服务器IE中把http://192.168.1.61/添加为可信任的站点,信任站点安全降到最低。(这是为了下载插件的时候不被IE阻止)
B、在服务器的ie中输入http://192.168.1.61/certsrv,出现登陆框,使用administrator2和xitongguanliyuanXXXX0)登录。点击申请证书,点击高级证书申请,选第二项64编码的XXXXXX
C、找到我的文档中的“omo的证书申请文件.txt”,打开,将内容全部拷贝。
D、点击“是”,确认操作,默认der编码证书,然后点击下载证书。将做好的证书保存到我的文档。
8、已经完成了架设证书服务器— 证书申请文件制作—向架设的证书服务器申请证书的工作,剩下就是将得到的证书导入了。
开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—证书服务器—点右边的完成证书申请,在我的文档中找到刚才下载的证书,好记名字随便写,一路确定完成证书导入。
现在在开始—管理工具—internet 信息服务(IIS)管理器—omoserver—证书服务器里面就有3个证书了,从上到下分别是发给域控的证书、证书服务器自己发给自己的证书、刚才导入的证书。
9、证书导入后,还没有和网站绑定。开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—右侧点击绑定—弹出对话框中点击添加—类型https,ssl证书选择下拉框中找到刚才导入的证书,一路确认。(如果前面已经绑定的证书还是域控的证书,这里就可以把它更换成给网站的证书了)
10、在服务器的IE中输入
http://omoserver2.omohome.com/和https://omoserver2.omohome.com/都可以访问。当输入https://omoserver2.omohome.com/时打开的页面出现了变化,地址栏后面出现了一把锁,表示已经加密,点击锁可以看到说明。
11、这时,再到客户端的IE中输入https://omoserver2.omohome.com/,任然有证书错误的告警,这是因为客户端还没有信任我们自己建设的证书服务器。在客户端的IE中把http://192.168.1.61/添加为可信任的站点,登陆http://192.168.1.61/certsrv,输入密码后,点击 下载 CA 证书、证书链或 CRL—下载ca证书—保存到桌面。在桌面打开刚刚下载的证书,可以看到此根证书不受信任的告警,点击安装证书—下一步—选择将所有的证书放入下列存储—浏览—选择 受信任的根证书颁发机构—然后一路选择确认和是。导入完成后,再打开桌面的证书,可以看到证书告警已经消失了。
12、再次在客户端IE中打开https://omoserver2.omohome.com/,正常的锁出现了,证书安装完毕。这个认证只针对omoserver2.omohome.com这个名字,如果用192.168.1.61来登录,因为名字和证书不一样,就算他们指向同一个网站,也会告警。
13、给每一台客户端电脑都安装证书保证他们都不会告警。
如果打算不启用ssl,那么可以不设置九、十、十一
除去证书设置以外的所有的部署前准备工作可以在
http://technet.microsoft.com/zh-cn/library/bb691354(EXCHG.140).aspx
中查询。不布置证书的准备是非常快的。
依然要升级,存档