建立新的 Exchange Server 自我簽署憑證
當您安裝 Exchange Server 時,由 Exchange Server 本身建立和簽署的自我簽署憑證會自動安裝在伺服器上。 不過,您也可以建立其他可使用的自我簽署憑證。
您可以在 Exchange 系統管理中心 (EAC) 或 Exchange 管理命令介面中建立自我簽署憑證憑證。
開始之前有哪些須知?
預估完成時間:5 分鐘。
Exchange 自我簽署憑證適用於加密內部 Exchange 伺服器之間的通訊,但不適用於加密外部連線,因為客戶端、伺服器和服務不會自動信任 Exchange 自我簽署憑證。 若要為所有用戶端、伺服器和服務自動信任的商業證書頒發機構單位建立憑證要求 (也稱為憑證簽署要求或 CSR) ,請參閱 建立證書頒發機構單位的 Exchange Server 憑證要求。
當您使用 New-ExchangeCertificate Cmdlet 建立新的自我簽署憑證時,可以在建立憑證期間將憑證指派給 Exchange 服務。 如需 Exchange 服務的詳細資訊,請 參閱將憑證指派給 Exchange Server 服務。
若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 用戶端和行動裝置 許可權主題中的專案。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange Server、Exchange Online 或 Exchange Online Protection。
使用EAC建立新的 Exchange 自我簽署憑證
開啟EAC並流覽至 [伺服器憑證>]。
在 [選取伺服器] 清單中,選取您要安裝憑證的 Exchange 伺服器,然後按兩下 [
![新增] 圖示](../../exchangeserver/media/itpro_eac_addicon.png?view=exchserver-2019)
。[新增 Exchange 憑證精靈] 隨即開啟。 在 [ 此精靈將建立新的憑證或憑證要求檔案 ] 頁面上,選取 [ 建立自我簽署憑證],然後按 [ 下一步]。
注意: 若要為證書頒發機構單位建立新的憑證要求,請參閱 建立證書頒發機構單位的 Exchange Server 憑證要求。
在此 憑證的 [易記名稱 ] 頁面上,輸入憑證的易記名稱,然後按 [ 下一步]。
在 [指定您要套用此憑證的伺服器] 頁面中,按兩下 [
在開啟的 [ 選取伺服器 ] 頁面上,選取您要安裝憑證的 Exchange 伺服器,然後按兩下 [新增 -] >。 視需要重複此步驟多次。 當您完成選取伺服器時,請按兩下 [ 確定]。
完成後,按 [下一步]。
[ 指定您要包含在憑證中的網域 ] 頁面基本上是一個工作表,可協助您判斷憑證中下列 Exchange 服務所需的內部和外部主機名:
Outlook 網頁版
離線通訊錄產生 (OAB)
Exchange Web 服務
Exchange ActiveSync
自動探索
流行
網際網路訊息存取通訊協定 (IMAP)
Outlook 無所不在
如果您根據內部或外部) (位置輸入每個服務的值,精靈會決定憑證中所需的主機名,而資訊會顯示在下一頁。 若要修改服務的值,請按兩下 [ 編輯 (
![編輯] 圖示。](../../exchangeserver/media/itpro_eac_editicon.png?view=exchserver-2019)
) 並輸入您要使用的主機名值 (或刪除) 值。 完成後,按 [下一步]。如果您已經判斷出憑證中所需的主機名值,則不需要填寫此頁面上的資訊。 請改為按兩下 一步 ,在下一頁手動輸入主機名。
根據您的選擇,下列網域將包含在您的憑證頁面中,列出將包含在自我簽署憑證中的主機名。 憑證的 [ 主體 ] 字段中使用的主機名是粗體,很難看出是否已選取該主機名。 您可以根據您在上一頁所做的選擇,驗證憑證中所需的主機名專案。 或者,您可以忽略最後一頁中的值,並新增、編輯或移除主機名值。
如果您想要 SAN 憑證, [主體 ] 字段仍然需要一個通用名稱 (CN) 值。 若要選取憑證 [ 主體 ] 字段的主機名,請選取值,然後按兩下 [設定為一般名稱 (核取標記) 。 值現在應該會顯示為粗體。
如果您想要單一主機名的憑證,請一次選取一個其他值,然後按兩下 [移除 (
![移除] 圖示。](../../exchangeserver/media/itpro_eac_removeicon.png?view=exchserver-2019)
) 。當您在此頁面上完成時,按兩下 [ 完成]。
注意:
- 您無法刪除將用於憑證 [ 主體 ] 字段的粗體主機名值。 首先,您必須選取或新增不同的主機名,然後按兩下 [設定為一般名稱 (核取標記) 。
- 如果您按下 [ 上 一頁] 按鈕,您在此頁面上所做的變更可能會遺失。
使用 Exchange 管理命令介面建立新的 Exchange 自我簽署憑證
若要建立新的 Exchange 自我簽署憑證,請使用下列語法:
New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]
此範例會在本機 Exchange 伺服器上建立具有下列屬性的自我簽署憑證:
-
主旨: <ServerName>。 例如,如果您在名為 Mailbox01 的伺服器上執行 命令,則值為
Mailbox01。 -
主體別名: <ServerName>、 <Server FQDN>。 例如,
Mailbox01, Mailbox01.contoso.com。 - 易記名稱:Microsoft Exchange
- 服務:P OP、IMAP、SMTP。
New-ExchangeCertificate
此範例會使用下列屬性,在本機 Exchange 伺服器上建立自我簽署憑證:
-
主旨:Exchange01,其需要值
CN=Exchange01。 請注意,此值會自動包含在 DomainName 參數中, ([ 主體別名] 字 段) 。 - 其他主體別名:
- mail.contoso.com
- autodiscover.contoso.com
- Exchange01.contoso.com
- Exchange02.contoso.com
- 服務:SMTP、IIS
- 易記名稱:Contoso Exchange 憑證
- 私密金鑰是可匯出的。 這可讓您從伺服器匯出憑證 (,並將其匯入其他伺服器) 。
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true
注意:
- (憑證的 [主體] 字段) ,X.500 SubjectName 參數值的唯一必要部分是
CN=<HostNameOrFQDN>。 - 某些 Services 參數值會產生警告或確認訊息。 如需詳細資訊, 請參閱將憑證指派給 Exchange Server 服務。
- 如需詳細資訊,請參閱 New-ExchangeCertificate。
如何知道這是否正常運作?
若要確認您已成功建立 Exchange 自我簽署憑證,請執行下列其中一個步驟:
在 [伺服器憑證的 EAC] 中>,確認已選取您建立自我簽署憑證的伺服器。 憑證應該會在憑證清單中,且其 [狀態] 值為 [有效]。
在您建立自我簽署憑證之伺服器上的 Exchange 管理命令介面中,執行下列命令並確認屬性:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter