在 Exchange Server 中创建 UM 证书

适用于： Exchange Server 2013、Exchange Server 2016

可以使用 EAC 或 Shell 中的“新建 Exchange 证书”向导为内部公钥基础结构创建自签名证书或证书请求， (PKI) 证书。 对于统一消息 (UM) ，可以将其中一个证书用于 Microsoft Exchange 统一消息服务和 Microsoft Exchange 统一消息呼叫路由器服务。 您可以对两种服务使用同样的证书，或对每个服务使用不同的证书。 还可以购买和导入 UM 服务的第三方商业证书。 如果使用 UM 的自签名证书，则可能需要将客户端访问和邮箱服务器的名称包含在使用者可选名称中， (SAN) 。

默认情况下，安装 Exchange Server 2013 时，会创建两个自签名证书： Microsoft Exchange Server 身份验证证书 和 Microsoft Exchange。 um 可以使用 Microsoft Exchange 自签名证书来加密数据，但必须将证书分配给 UM 和 UM 呼叫路由器服务。 将证书分配给统一消息服务后，可以将证书复制到 VoIP 网关、IP PBX 和启用 SIP 的 PBX 并导入到其中。 但是，可能需要专门为统一消息创建另一个自签名证书，而不是使用默认自签名证书。

警告

将 UM 与 Microsoft Lync Server 集成时，自签名证书不可使用。

有关管理统一消息证书的更多管理任务，请参阅部署证书的 UM 过程。

在开始之前，您需要知道什么？

• 估计完成时间：5 分钟。

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 Exchange 和命令行管理程序基础结构权限主题中的"证书管理"条目和统一消息权限主题中的"UM 服务"条目。 还必须使用该计算机上本地 Administrators 组的成员帐户进行登录。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

提示

是否有任何疑问？ 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 上的论坛。

使用 EAC 创建 UM 证书请求

1. 在 EAC 中，导航到 “服务器>证书”，然后单击“ 添加。

2. 在“新建 Exchange 证书”页面上，选择“创建从证书颁发机构获取证书的请求”，然后单击“下一步”。

3. 为证书输入一个友好名称，然后单击“下一步”。

4. 如果不需要通配符证书，请单击“ 下一步”。 如果需要通配符证书，请选择“ 请求通配符证书”。通配符证书可用于使用单个证书保护根域下的所有子域，输入根域的名称，然后单击“ 下一步”。

5. 在“ 在此服务器上存储证书请求”下，单击“ 浏览 ”转到要存储文件的位置。 可以将证书请求存储在 Exchange 组织中的任何客户端访问或邮箱服务器上。 选择位置，单击“ 确定”，然后单击“ 下一步”。

6. 如果已发出通配符证书请求，请跳到步骤 9。

7. 如果未请求通配符证书，则需要指定要包含在证书中的域。 如果要编辑域，请单击“ 编辑，然后单击“ 下一步”。

8. 在“ 根据你的选择”下，证书中将包含以下域。可以在此处添加其他域，或者进行更改，也可以添加、编辑、删除或检查 “域”下列出的域的名称。 然后单击下一步。

9. 在 “指定有关组织的信息”下。这是证书颁发机构的要求，请输入以下内容：

   • 组织名称
   • 部门名称
   • 市/位置
   • 省/市/自治区
   • 县/地区名称：对于此选项，请使用下拉列表选择国家或地区。

10. 在“将证书请求保存至下列文件”下，输入证书文件名称，然后单击“完成”。

使用命令行管理程序创建 UM 证书请求

此示例为名为 MyMailboxServer 且友好名称 CertUM为 的邮箱服务器创建新的 Exchange 证书请求。

New-ExchangeCertificate -FriendlyName 'CertUM' -GenerateRequest -PrivateKeyExportable $true -KeySize '2048' -DomainName '*.northwindtraders.com' -SubjectName 'C=US,S=wa,L=redmond,O=northwindtraders,OU=servers,CN= northwindtraders.com' -Server 'MyMailboxServer'

使用 EAC 创建 UM 自签名证书

1. 在 EAC 中，导航到 “服务器>证书”，然后单击“ 添加。

2. 在“新建 Exchange 证书”页面，选择“创建自签名证书”，然后选择“下一步”。

3. 为证书输入一个友好名称，然后选择“下一步”。

4. 单击“ 添加 选择要将此证书应用到的 Exchange 服务器，然后选择“ 下一步”。

5. 指定您想包含在证书中的域，然后选择“下一步”。 如果要为服务添加域，请单击“ 编辑。

6. 验证所包含的域是否正确，然后选择“完成”。

重要

使用 EAC 创建自签名证书时，系统不会提示你为证书启用服务。 创建证书后，可以使用 EAC 或 Shell 中的 Enable-ExchangeCertificate cmdlet 来启用 Exchange 服务。 有关如何将证书分配给 UM 服务的详细信息，请参阅 将证书分配给 UM 和 UM 呼叫路由器服务。

使用命令行管理程序创建 UM 自签名证书

此示例为名为 MyMailboxServer 的邮箱服务器创建新的 Exchange 自签名证书，其友好名称 UMCert为 。

New-ExchangeCertificate -Services 'UM, UMCallRouter' -DomainName '*.northwindtraders.com' -FriendlyName 'UMSelfSigned' -SubjectName 'C=US,S=WA,L=Redmond,O=Northwindtraders,OU=Servers,CN= Northwindtraders.com' -PrivateKeyExportable $true

提示

使用 Services 参数指定要启用的服务时，系统会提示你分配这些服务。 在此示例中，系统会提示你为 UM 和 UM 呼叫路由器服务启用证书。 有关如何为服务启用证书的详细信息，请参阅 将证书分配给该 UM 和 UM 呼叫路由器服务。