完成擱置 Exchange Server 憑證要求
完成擱置的憑證要求 (也稱為憑證簽署要求或 CSR) ,是在 Exchange Server 中設定傳輸層安全性 (TLS) 加密的下一個步驟。 從證書頒發機構單位 (CA) 收到憑證之後,您可以在 Exchange 伺服器上安裝憑證,以完成擱置的憑證要求。
您可以在 Exchange 系統管理中心 (EAC) 或 Exchange 管理命令介面中完成擱置的憑證要求。 這些程式與完成新的憑證要求或憑證更新要求的程式相同。 這些程式也與內部 CA (所簽發的憑證相同,例如 Active Directory 憑證服務) 或商業 CA。
您可能會收到下列一或多個類型的憑證檔案 CA:
PKCS #12 憑證檔案:這些是具有 .cer、.crt、.der、.p12 或 .pfx 擴展名的二進位憑證檔案,而且當檔案包含私鑰或信任鏈結時需要密碼。 CA 可能只會發出一個您需要安裝的二進位憑證檔案 (受到密碼) 保護,或是您也需要安裝的多個根或中繼二進位憑證檔案。
PKCS #7 憑證檔案:這些是擴展名為 .p7b 或 .p7c 的文本憑證檔案。 這些檔案包含文字:
-----BEGIN CERTIFICATE-----
和 或-----END CERTIFICATE-----
-----BEGIN PKCS7-----
與或與-----END PKCS7-----
。 如果 CA 包含憑證檔案鏈結與您的二進位憑證檔案,您也需要安裝憑證檔案鏈結。
注意事項
憑證管理工作會從 EAC 中移除,適用於 Exchange Server 2016 CU23 和 Exchange Server 2019 CU12。 使用 Exchange 管理命令介面程式從這些版本匯出/匯入憑證。
開始之前有哪些須知?
預估完成時間:5 分鐘。
本主題中的程式會要求您在 Exchange 伺服器上建立新的憑證要求、將憑證要求傳送至 CA,以及從 CA 接收憑證。 如需詳細資訊,請參閱 Create 證書頒發機構單位的 Exchange Server 憑證要求。
在 EAC 中,您需要從 UNC 路徑擷取憑證檔案 (
\\<Server>\<Share>
或\\<LocalServerName>\c$\
) 。 在 Exchange 管理命令介面中,您可以使用本機檔案路徑。如果您在已訂閱的 Edge Transport Server 上更新或取代由 CA 所發出的憑證,您就必須移除舊憑證,然後先刪除再重新建立 Edge 訂閱。 如需詳細資訊,請參閱<Edge 訂閱程序>。
若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 用戶端和行動裝置 許可權主題中的專案。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange Server、Exchange Online 或 Exchange Online Protection。
使用 EAC 建立完成擱置的憑證要求
開啟EAC並流覽至 [伺服器憑證>]。
在 [ 選取伺服器] 清單中,選取保留擱置憑證要求的 Exchange 伺服器。
擱置中的憑證要求具有下列屬性:
在憑證清單中, [狀態] 字 段的值為 [擱置要求]。
當您從清單中選取憑證要求時,詳細數據窗格中有 [ 完整 ] 連結。
選取您要完成的擱置憑證要求,然後按下詳細數據窗格中的 [ 完成 ]。
在開啟的 [ 完成擱置要求 ] 頁面上,於 [ 要從中匯入的檔案 ] 欄位中,輸入憑證檔案的 UNC 路徑和檔名。 例如,
\\FileServer01\Data\ContosoCert.cer
。 完成後,按一下 [確定]。
憑證要求會成為 Exchange 憑證清單中 狀態值為[有效] 的憑證。 如需後續步驟,請參閱後續步驟一節。
使用 Exchange 管理命令介面來完成擱置的憑證要求
若要完成擱置的憑證要求,請使用下列語法:
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]
您可以使用此語法搭配下列類型的憑證檔案:
- 二進位憑證檔案 (擴展名為 .cer、.crt、.der、.p12 或 .pfx 擴展名的 PKCS #12 檔案) 。
- 憑證檔案鏈結 (擴展名為 .p7b 或 .p7c 的 PKCS #7 文本檔) 。
此範例會匯入本機 Exchange 伺服器上受保護的二進位憑證檔案 \\FileServer01\Data\Contoso Cert.cer
。 系統會提示您輸入密碼。
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)
此範例會匯入本機 Exchange 伺服器上的文本憑證檔案 \\FileServer01\Data\Chain of Certificates.p7b
。
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))
注意:
- 如果憑證檔案位於您執行命令的 Exchange 伺服器上,且這是您要匯入憑證的相同伺服器, 則 FileData 參數會接受本機路徑。 否則,請使用 UNC 路徑。
- 如果您要能夠從匯入憑證的伺服器匯出憑證,您需要使用 PrivateKeyExportable 參數搭配值
$true
。 - 如需詳細資訊,請參閱Import-ExchangeCertificate。
如何知道這是否正常運作?
若要確認您已成功完成憑證要求,並在 Exchange Server 上安裝憑證,請使用下列其中一個程式:
在 [伺服器證書] 的 EAC 中>,確認已選取您安裝憑證的伺服器。 In the list of certificates, verify that the certificate has Status property value Valid.
在您安裝憑證之伺服器上的 Exchange 管理命令介面中,執行下列命令,並確認憑證已列出:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
後續步驟
在伺服器上安裝憑證來完成擱置的憑證要求之後,您必須先將憑證指派給一或多個 Exchange 服務,Exchange 伺服器才能使用憑證進行加密。 如需詳細資訊, 請參閱將憑證指派給 Exchange 服務。