创建新的 Exchange Server 自签名证书

安装 Exchange Server 时，将自动在服务器上安装由 Exchange 服务器本身创建和签名的自签名证书。 但是，您还可以创建其他的可供您使用的自签名证书。

可以在 Exchange 管理中心 (EAC) 或 Exchange 命令行管理程序中创建自签名证书。

在开始之前，您需要知道什么？

• 估计完成时间：5 分钟。

• Exchange 自签名证书适用于加密内部 Exchange 服务器之间的通信，但不太适用于加密外部连接，因为客户端、服务器和服务不会自动信任 Exchange 自签名证书。 若要为所有客户端、服务器和服务自动信任的商业证书颁发机构创建证书请求 (也称为证书签名请求或 CSR) ，请参阅 为证书颁发机构创建 Exchange Server 证书请求。

• 使用 New-ExchangeCertificate cmdlet 创建新的自签名证书时，可以在创建证书期间将证书分配给 Exchange 服务。 有关 Exchange 服务的详细信息，请参阅 将证书分配给 Exchange Server 服务。

• 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序，请参阅 Open the Exchange Management Shell。

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 客户端和移动设备权限主题中的"客户端访问服务安全"条目。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

提示

是否有任何疑问？ 请在 Exchange 论坛中寻求帮助。 请访问以下论坛：Exchange Server、Exchange Online 或 Exchange Online Protection。

使用 EAC 创建新的 Exchange 自签名证书

1. 打开 EAC 并导航到 “服务器>证书”。

2. 在“选择服务器”列表中，选择要安装证书的 Exchange 服务器，然后单击“添加”。

3. “新建 Exchange 证书”向导打开。 在“此向导会创建新证书或证书请求文件”页面上，选择“创建一个自签名证书”，然后单击“下一步”。

   注意： 若要为证书颁发机构创建新的证书请求，请参阅 为证书颁发机构创建 Exchange Server 证书请求。

4. 在“此证书的友好名称”页上，输入证书的友好名称，然后单击“下一步”。

5. 在 “指定要将此证书应用到的服务器 ”页中，单击“ 添加

   在打开 的“选择服务器” 页上，选择要安装证书的 Exchange 服务器，然后单击“ 添加 - >”。 根据需要重复执行此步骤（次数不限）。 选择完服务器后，单击“ 确定”。

   完成后，单击“下一步”。

6. “指定要包含在证书中的域”页基本上是一个工作表，可帮助你确定以下 Exchange 服务的证书中所需的内部和外部主机名：

   • Outlook 网页版

   • 脱机通讯簿生成 (OAB)

   • Exchange Web 服务

   • Exchange ActiveSync

   • 自动发现

   • 流行

   • IMAP

   • Outlook Anywhere

     如果您根据位置（内部或外部）输入了各项服务的值，向导则会确定证书中所需的主机名，且此信息会在下一页中显示。 若要修改服务的值，请单击 “编辑 ” () 并输入要使用的主机名值， (或删除) 的值。 完成后，单击“下一步”。

     如果您已经确定了证书中所需的主机名的值，则您无需在此页上填写信息。 而应单击“下一步”，然后在下一页上手动输入主机名。

7. 根据所选内容，以下域将包含在证书页中，其中列出了将包含在自签名证书中的主机名。 证书的 Subject 字段中使用的主机名是粗体，不易查看是否已选中该主机名。 您可以根据上一页的选择验证证书中所需的主机名条目。 或者，可以忽略最后一页中的值并添加、编辑或删除主机名称的值。

   • 如果您要申请 SAN 证书，Subject 字段还需要一个公用名 (CN) 的值。 若要选择证书的 “使用者 ”字段的主机名，请选择值并单击“ 设置为公用名 ” (复选标记) 。 此时值应以粗体显示。

   • 如果需要单个主机名的证书，请一次选择一个其他值，然后单击“ 删除 () 。

     完成此页面后，单击“ 完成”。

   注意：

   • 您不能删除以粗体显示的主机名的值，该值会用于证书的 Subject 字段。 首先，您需要选择或添加不同的主机名，然后单击“设置为公用名”（复选标记）。
   • 如果单击“返回”按钮，可能会丢失您在此页上进行的更改。

使用 Exchange 命令行管理程序创建新的 Exchange 自签名证书

若要创建新的 Exchange 自签名证书，请使用以下语法：

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

此示例在本地 Exchange 服务器上使用以下属性创建自签名证书：

• 主题： <ServerName>。 例如，如果在名为 Mailbox01 的服务器上运行命令，则值为 Mailbox01。
• 使用者可选名称： <ServerName>、 <Server FQDN>。 例如，Mailbox01, Mailbox01.contoso.com。
• 友好名称：Microsoft Exchange
• 服务：POP、IMAP、SMTP。

New-ExchangeCertificate

此示例在本地 Exchange 服务器上创建具有以下属性的自签名证书：

• 主题：Exchange01，需要值 CN=Exchange01。 请注意，此值会自动包含在 DomainName 参数（Subject Alternative Name 字段）中。
• 其他主题备用名称：
  • mail.contoso.com
  • autodiscover.contoso.com
  • Exchange01.contoso.com
  • Exchange02.contoso.com
• 服务：SMTP、IIS
• 友好名称：Contoso Exchange 证书
• 该私钥是可以导出的。 这样，您就可以从服务器导出该证书，并将其导入到其他的服务器上。

New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

注意：

• ) 证书的 Subject 字段 (，X.500 SubjectName 参数值的唯一必需部分是 CN=<HostNameOrFQDN>。
• 一些 Services 参数的值将生成警告或确认消息。 有关详细信息，请参阅 将证书分配给 Exchange Server 服务。
• 有关详细信息，请参阅 New-ExchangeCertificate。

如何知道操作成功？

若要验证是否已成功创建 Exchange 自签名证书，请执行以下步骤之一：

• 在 “服务器>证书”处的 EAC 中，验证是否已选择创建自签名证书的服务器。 该证书应显示在证书的列表中，且“状态”值为“有效”。

• 在创建自签名证书的服务器上的 Exchange 命令行管理程序中，运行以下命令并验证属性：

  Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter