分类
知识中心

安装win2008r2、域控、IIS、证书服务器(四)

九、架设证书服务器

exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有SSL证书,也能安装exchange2010,也能使用owa,但是会不断有告警出现。所以,要先架设证书服务器,自己给自己发证书。

1、服务器管理器—单击角色—右边添加角色—下一步—勾选active directory证书服务

2、点击下一步后,告诉你如果要架设证书服务器,就不能够再修改服务器的名字和域了,免得骗子证书满天飞。再次点击下一步。

3、默认只有安装证书颁发机构,除此之外,联机响应程序、web注册功也可以安装,web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装,要么需要其他环境支持,都暂时不用安装了。点击下一步。

安装win2008r2、域控、IIS、证书服务器(四)-1

4、安装类型里面选择企业。

有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个。(这句话完全是抄袭别人的,抄袭起来果然比自己打字轻松)简单说,企业更牛。

必须是 Domain Admins 组的成员或者是具有 AD DS 写入权限的管理员才能安装企业根 CA。我们一直在使用administrator进行操作,它当然具有这个权限。

ca类型是根ca

5、设置私钥

新建私钥,默认设置,勾选允许交互操作,点击下一步。

6、配置ca名称,默认,点击下一步。证书有效期,默认5年,点击下一步。数据库位置和日志位置默认,点击下一步。

7、确认,安装。告警信息再次提醒部署了ca服务器后就不能修改计算机名称和域了。

8、完成安装。

安装win2008r2、域控、IIS、证书服务器(四)-1

9、开始—管理工具—证书颁发机构(certsrv.msc),就可以打开证书服务器管理了。如果在安装IIS的时候没有启用asp,当安装完毕证书服务和web注册后也,也会开启asp.net和asp服务。

10、如果要安装余下的证书服务。控制面板—打开或关闭windows功能—展开角色—actice directory 证书服务 右键点击—添加角色服务

11、勾选想要安装的其他角色服务,该选项如果有附带角色服务要求,点击 添加所需的角色服务即可。

安装win2008r2、域控、IIS、证书服务器(四)-1

证书服务器的其他角色服务可能更好用,不过我这里没有继续添加了。

12、安装了web注册后,就可以在开始—管理工具—internet信息服务(IIS)管理器—网站—default web site—点击右侧 “查看应用程序”看到/certsrv程序已经被添加了。

 安装win2008r2、域控、IIS、证书服务器(四)-2

13、ie中输入192.168.1.61/certsrv,出现登陆框,(使用administrator和xitongguanliyuanmima0)就可以登录证书服务了。这里暂时不登陆,等到准备好证书申请文件后,再登陆。

 安装win2008r2、域控、IIS、证书服务器(四)-4

14、升级后重启服务器。

15、查看证书服务器和证书

在开始—管理工具—点证书颁发机构—右键点击omohome-omoserver-ca—选属性,可以看到0号证书,这是证书服务器颁发给自己的根证书。

点击查看证书,可以看到详细信息。

安装win2008r2、域控、IIS、证书服务器(四)-6

展开颁发的证书,可以看到颁发给域控服务器的2号证书,这份证书在安装了证书服务器,并重启了以后,才会颁发,重启之前是看不到的。

安装win2008r2、域控、IIS、证书服务器(四)-3

展开服务器管理器—web服务器(IIS)—点击internet信息服务(IIS)管理器—右侧展开omoserver—点开服务器证书(可以在筛选里找证书),可以看到刚才的两个证书,他们默认的到期时间是不一样的。第一个是颁发给域控的证书,第二个是颁发给证书服务器自己的证书。

安装win2008r2、域控、IIS、证书服务器(四)-6

十、启用站点的ssl

现在完成了IIS、证书服务器的架设,服务器里已经有两个证书,可以试验开启站点的ssl了。

1、开始—管理工具—internet 信息服务(IIS)管理器—omoserver—网站—default web site—右侧点击绑定—添加—类型选择https—ssl证书从我们现有的两个证书中随便选一个,确认后就打开了ssl。

安装win2008r2、域控、IIS、证书服务器(四)

现在用192.168.1.61来访问主页,还是原状保持不变。如果使用https://192.168.1.61来访问就会发生变化。

安装win2008r2、域控、IIS、证书服务器(四)-10

这是因为我们刚才绑定的ssl证书是给域控服务器发放的,与输入的192.168.1.61不匹配,所以出现一个警告,点击继续浏览此网站,可以看到页面,但是地址框变成了红色,表示站点证书异常,需要小心。点击证书错误,可以查看解释和证书内容。

安装win2008r2、域控、IIS、证书服务器(四)-5

2、现在,通过http://192.168.1.61和https://192.168.1.61都可以访问,但在完成exchange的部署后,http访问就会失效,只能通过https来访问。打开开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—ssl设置,当完成exchange的架设后,ssl设置将被默认勾选。双击ssl设置,如果我们勾选这里的要求ssl,那么我们的网站也不能通过http来访问了。在exchange部署完成后,如果不想麻烦,可以在这里取消ssl的勾选,然后点应用,或者在站点的绑定里面删除掉https的绑定。

 安装win2008r2、域控、IIS、证书服务器(四)-9

十一、为站点制作证书申请、申请证书、安装证书

在架设好证书服务器后,可以给站点制作、申请、安装一个证书来保证ssl的使用。

ssl本证书来是为了提高安全性,为了没有告警关闭这个选项不是最好的解决办法,应该通过安装证书来保证ssl证书的使用。有两个方法得到证书,一是向全球公认的证书提供商申请证书然后安装,一是自己架设证书服务器给自己发证书。我们前面已经建设好了证书服务器,可以向自己的服务器申请证书。

申请购买地址:https://www.ert7.com/symantecs.html

CA即Certificate Authority ,也就是证书授权中心,Internet 服务器证书由公共证书颁发机构 (CA) 颁发。若要获取 Internet 服务器证书,首先要向 CA 发送申请,然后安装从 CA 发送来的 Internet 服务器证书

1、打开 IIS 管理器,点击omoserver2,中间IIS栏目下找到服务器证书,双击(也可以在筛选中输入”证书”快速查找。)

2、在右边”操作”窗格中,单击”创建证书申请”。

3、在”申请证书”向导的”可分辨名称属性”页上,填写信息,然后单击”下一步”。这里写的证书名称必须和网站的名称一致。比如,想要认证的网站叫做omoserver2.omohome.com,那么名称就一定要填写这个。即使192.168.1.61与它指向的是同一个页面,也不能填写成192.168.1.61,否则在使用中会出现客户端输入的网站名字与证书名字不符合,认证告警的情况。其他内容都可以随便填写。

安装win2008r2、域控、IIS、证书服务器(四)-10

4、加密默认,位长默认,单击”下一步”。

5、在”文件名”页上的”为证书申请指定一个文件名”文本框中,键入一个文件名;可以单击该页上的浏览按钮 (…) 来指定保存位置和名字。我将证书放在我的文档下面,名字叫做omo的证书申请文件,默认是txt文件。

6、到我的文档里面一看,一个证书申请文件做出来了。打开证书,看到一大堆XXX文字,这是加密了的内容。然后,如果有钱有闲,去国际公认的证书发行公司申请证书吧。证书多少钱一个?不知道。申请文件发给谁?不知道。多少时间证书做好发回来?不知道。貌似一个网上缴税的ca证书是80元,貌似taobao的证书不要钱,貌似盗版服务器搞证书很纠结。

还是将这个文件发到我们自己的证书服务器里面去认证吧。

7、证书申请文件“omo的证书申请文件.txt”已经准备好,放在我的文档了;证书服务器已经架设好,可以web访问了。现在开始申请证书。

A、先在服务器IE中把http://192.168.1.61/添加为可信任的站点,信任站点安全降到最低。(这是为了下载插件的时候不被IE阻止)

安装win2008r2、域控、IIS、证书服务器(四)

B、在服务器的ie中输入http://192.168.1.61/certsrv,出现登陆框,使用administrator2和xitongguanliyuanXXXX0)登录。点击申请证书,点击高级证书申请,选第二项64编码的XXXXXX

C、找到我的文档中的“omo的证书申请文件.txt”,打开,将内容全部拷贝。

 安装win2008r2、域控、IIS、证书服务器(四)-7

安装win2008r2、域控、IIS、证书服务器(四)-16

D、点击“是”,确认操作,默认der编码证书,然后点击下载证书。将做好的证书保存到我的文档。

安装win2008r2、域控、IIS、证书服务器(四)-13

8、已经完成了架设证书服务器— 证书申请文件制作—向架设的证书服务器申请证书的工作,剩下就是将得到的证书导入了。

开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—证书服务器—点右边的完成证书申请,在我的文档中找到刚才下载的证书,好记名字随便写,一路确定完成证书导入。

现在在开始—管理工具—internet 信息服务(IIS)管理器—omoserver—证书服务器里面就有3个证书了,从上到下分别是发给域控的证书、证书服务器自己发给自己的证书、刚才导入的证书。

安装win2008r2、域控、IIS、证书服务器(四)-8

9、证书导入后,还没有和网站绑定。开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—右侧点击绑定—弹出对话框中点击添加—类型https,ssl证书选择下拉框中找到刚才导入的证书,一路确认。(如果前面已经绑定的证书还是域控的证书,这里就可以把它更换成给网站的证书了)

10、在服务器的IE中输入

http://omoserver2.omohome.com/和https://omoserver2.omohome.com/都可以访问。当输入https://omoserver2.omohome.com/时打开的页面出现了变化,地址栏后面出现了一把锁,表示已经加密,点击锁可以看到说明。

安装win2008r2、域控、IIS、证书服务器(四)-15

11、这时,再到客户端的IE中输入https://omoserver2.omohome.com/,任然有证书错误的告警,这是因为客户端还没有信任我们自己建设的证书服务器。在客户端的IE中把http://192.168.1.61/添加为可信任的站点,登陆http://192.168.1.61/certsrv,输入密码后,点击 下载 CA 证书、证书链或 CRL—下载ca证书—保存到桌面。在桌面打开刚刚下载的证书,可以看到此根证书不受信任的告警,点击安装证书—下一步—选择将所有的证书放入下列存储—浏览—选择 受信任的根证书颁发机构—然后一路选择确认和是。导入完成后,再打开桌面的证书,可以看到证书告警已经消失了。

安装win2008r2、域控、IIS、证书服务器(四)-20

 

12、再次在客户端IE中打开https://omoserver2.omohome.com/,正常的锁出现了,证书安装完毕。这个认证只针对omoserver2.omohome.com这个名字,如果用192.168.1.61来登录,因为名字和证书不一样,就算他们指向同一个网站,也会告警。

13、给每一台客户端电脑都安装证书保证他们都不会告警。

如果打算不启用ssl,那么可以不设置九、十、十一

除去证书设置以外的所有的部署前准备工作可以在

http://technet.microsoft.com/zh-cn/library/bb691354(EXCHG.140).aspx

中查询。不布置证书的准备是非常快的。

依然要升级,存档

分类
知识中心

安装win2008r2、域控、IIS、证书服务器(三)

四、安装IIS服务器

在win2003部署exchange2003时,exchange有一个部署工具Exdeploy,通过这个部署工具,预先准备和设定exchange的安装环境。其中一步就会要求安装IIS服务器来给web提供支持,使得owa能够exchange。

在exchange2010的安装中,没有类似Exdeploy的部署工具,或者说部署工具检查的内容与原来变化很多,默认安装下来对IIS、证书、SSL都有要求。

在后面exchange部署的时候,有6中功能可以选择,如果使用默认安装,安装4个主要角色,是必须有IIS支持的,这样的安装方式和win2003+exchange2003大不一样。

1、打开服务器管理器

2、点 角色—添加角色—下一步

3、勾选 web服务器(IIS)

安装win2008r2、域控、IIS、证书服务器(三)-1

4、点下一步,下一步,把asp、asp.net、“基本身份验证”、“Windows身份验证”、“摘要式身份验证”、“动态内容压缩”、“IIS 6元数据库兼容”都勾选上,然后确认到底,进行安装。(勾选asp.net和asp时,会提醒有其它的附加内容需要安装,一并同意。它们在后面的owa和证书认证web服务中都会用到。红色的内容我都没有选,能不选吗?必须选吗?能不选吗?必须选吗?。。。。。。。纠结)

5、安装好IIS以后如果需要添加其他的功能,可以在服务器管理器—展开角色—右键点击web服务器(IIS)—添加角色服务,把其它要添加的功能都添加上。

6、安装完成后在服务器管理器—配置—服务中,找到asp.net state service服务,将他设置为自动。貌似应该重启一下了。

7、现在IIS架设完毕,我们的网站就可以用了。

服务器和客户端的IE中输入以下网址(客户端需要将一个dns设置为192.168.1.61,来使用我们自己的服务器做地址解析)

192.168.1.61

127.0.0.1

omoserver2.omohome.com

都可以看到这个网站了。

 安装win2008r2、域控、IIS、证书服务器(三)-1

7、如果感觉omoserver2.omohome.com这个名字不好记,也可以给网站设置别名。

打开开始—管理工具—dns—展开omoserver2—展开正向查找区域—在omohome.com上右键点击,选择新建别名—别名填写www—目标主机的完全格式的域名—点浏览—找到omoserver2—点正向查找—点 omohome.com—omoserver2主机确认。设置好之后,在OMOhome.com域内就可以使用www.omohome.com来访问主页了。

安装win2008r2、域控、IIS、证书服务器(三)-3

五、安装“Microsoft Filter Pack。2007 Office 系统转换器:Microsoft Filter Pack ”

下载安装IFilter 并将其注册到 Windows 索引服务。Microsoft 搜索产品可使用这些 IFilter 对特定文档格式的内容编制索引。此筛选包包括以下格式的 IFilter:.docx、.docm、.pptx、.pptm、.xlsx、.xlsm、.xlsb、.zip、.one、.vdx、.vsd、.vss、.vst、.vdx、.vsx 和 .vtx。,不装这个,后面检测也会报错,装吧装吧。office2007 的文件从2003的doc变成了docx,再过几年,会不会出docxxx。。。。。

下载地址是

http://www.microsoft.com/downloads/zh-cn/details.aspx?FamilyID=60c92a37-719c-4077-b5c6-cac34f4227cc

下载64位那个版本,语言选中文。

六、调用powershell设置Import-Module ServerManager

在“开始”菜单上,依次导航到“所有程序”、“附件”、Windows PowerShell(其实在快捷栏里面就看得到它,点击就可以调用了,本来就是管理员登陆的,所以也是管理员权限。难道微软是按照教程字数发工资的么)。右键单击“Windows PowerShell”快捷方式,然后单击“以管理员身份运行”,然后输入以下命令,回车(如果你想ctrl+c ctrl+v进去,那是不行地,只需要右键一点,就粘贴了):

Import-Module ServerManager

安装win2008r2、域控、IIS、证书服务器(三)-2

七、使用 Add-WindowsFeature cmdlet 安装必要的操作系统组件:

任然在刚才打开的powershell中,对于执行客户端访问、集线器传输及邮箱角色典型安装的服务器,输入以下代码。输入这个就足够了,只装exchange2010 6个角色中的4个,其他2个无视。

 

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy –Restart

 

配置后会自动重启电脑。

 

上面的代码是针对默认安装exchange2010的4个服务的。如果非要有其他需求可以参考以下代码:

 

对于要承载客户端访问、集线器传输、邮箱和统一消息服务器角色的服务器,请执行以下命令:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy,Desktop-Experience -Restart

 

对于要承载客户端访问和集线器传输服务器角色的服务器,请执行以下命令:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

 

对于要承载集线器传输和邮箱服务器角色的服务器,请执行以下命令:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server -Restart

 

对于要承载客户端访问和邮箱服务器角色的服务器,请执行以下命令:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

 

对于仅承载客户端访问角色的服务器:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart

 

对于承载集线器传输或邮箱角色的服务器:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server -Restart

 

对于仅承载统一消息角色的服务器:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Desktop-Experience -Restart

 

对于承载边缘传输角色的服务器:

Add-WindowsFeature NET-Framework,RSAT-ADDS,ADLDS -Restart

 

在要安装客户端访问服务器角色的服务器上,重新启动系统后以管理员身份登录,打开提升的 Windows PowerShell 控制台,并通过运行以下命令将 Net.Tcp 端口共享服务配置为“自动”启动:

Set-Service NetTcpPortSharing -StartupType Automatic

 

八、打开“Net. Tcp Port Sharing Service”服务

没有开这个服务,安装的时候会测试失败。这个服务一定要在上面的工作完成后来打开,不然又会从“自动”变成“手动”

1、打开 服务器管理器

2、展开配置—服务,找到“Net. Tcp Port Sharing Service”

3、设置 自动

安装win2008r2、域控、IIS、证书服务器(三)-5

4、以上工作也可以在PowerShell 控制台中输入以下命令来打开:

Set-Service NetTcpPortSharing -StartupType Automatic

如果打算不启用ssl,那么可以不设置九、十、十一

后面就可以直接进入exchange2010的部署了