none
exchange2013更换公网证书 RRS feed

  • 问题

  • win2012r2 DC+exchange2013标准版,目前运行正常,现在公司计划更换邮件证书的域名,比如原来的公网证书是mail.abc.com(并包含了mail.abc.com,autodiscover.abc.com,abc.com)换成mail.contoso.com并对外发布,其余不变。contoso.com这个域名已经购买,想问下更换的具体流程是如何的,前期要做哪些准备工作,谢谢
    2019年4月24日 6:04

全部回复

  • 您好,

    我们已帮您修改了您问题中提到的域名,下次在回复中请不要忘了覆盖掉个人信息。

    更换公网证书的过程相当于是新申请一个公网证书,基本过程也是和申请内部 CA 证书过程相似,在给新的证书分配服务的过程中,会提示是否替换旧有的证书。

    这里有两篇关于配置内部证书和公网证书的过程,您可以参考下:Exchange 2013公网证书配置 ,Exchange 2016证书配置

    注意:微软提供此信息是为了方便您。这些网站不受微软控制。微软不能就其中发现的任何软件或信息的质量,安全性或适用性做出任何陈述。在从上述链接中检索任何建议之前,请确保您完全了解风险。

    基本过程就是:

    • 创建CA证书申请
    • 申请证书
    • 导入证书
    • 给证书分配服务并替换证书

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年4月25日 2:47
    版主
  • 1、创建接受域

    2、如果创建地址策略

    3、修改虚拟目录、Outlook Anywhere等

    4、导入公网证书根证书

    5、导入公网证书

    6、分配服务

    7、创建对应的公网记录,例如MX、A、TXT等等

    8、测试内外网网页、客户端连接。

    PS:在更换域名期间会导致Outlook出现报错、建议非工作时间进行

    2019年4月25日 3:01
  • 在我的理解中,邮箱后缀的域名和对外发布的网址域名没有必然的关系吧?比如我的邮件服务器上包含的接受域有123.com,234.com,345.com,我的邮件地址就可以是test@123.com,test@234.com,test@345.com,而我对外发布的邮件连接地址是mail.contoso.com,比如外网的OWA地址https://mail.contoso.com/owa,想申请的邮件证书中包含的域名只有三个mail.contoso.com,contoso.com,autodiscover.contoso.com,这样没有问题吧?
    2019年4月25日 7:50
  • 嗯。同时确保各种 URL 都设置正确,使用包含在证书中的域名就没有问题。另外也不要忘记修改相关的 DNS 记录。

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年4月25日 9:48
    版主
  • 感谢解答。

    1.确定公网邮件证书包含的域名。(证书包含的域名可以与邮箱后缀的域名没有关联)

    2.在邮件服务器上生成证书申请文件

    3.向证书颁发机构购买证书

    4.安装新证书并分配服务

    5.修改所有对外的虚拟目录地址

    6.修改新域名达到DNS地址指向

    7.测试

    大概就是这些步骤,对吧?内网的DNS记录需要做更改吗?有推荐的证书颁发机构吗?另外证书的更换对内网用户会有什么影响吗,当前内网用户用outlook2007客户端的exchange模式连接服务器收发邮件。谢谢

    2019年4月26日 1:15
  • 您好,

    还有一点我们想和您再确认下,请问您对外发布的 contoso.com 和您内部使用的 SMTP 域名相同吗?

    如果不同的话,需要添加相应的 A 记录使 mail.contoso.com 指向服务器的 IP 地址。

    另外,除了修改对外的虚拟目录地址,对内虚拟目录地址也应该使用 contoso.com,比如 https://mail.contoso.com/owa。因为您的证书中只包含了关于 contoso 的域名。

    证书更换好后,如果还没修改 URL,很多服务会无法使用,Outlook 也会报错。我们建议您选择非工作时间进行证书更换,仔细设置好 URL 并进行测试,以免给您的用户带来不必要的麻烦。

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年4月26日 2:54
    版主
  • 你好,

    请问您对外发布的 contoso.com 和您内部使用的 SMTP 域名相同吗?---内部使用的 SMTP 域名是不是指AD的完整域名?

    如果不同的话,需要添加相应的 A 记录使 mail.contoso.com 指向服务器的 IP 地址---是在内网的DNS服务器上添加这条A记录,是吗

    先改证书还是先改URL应该无所谓吧?

    更换了证书和URL后,公司内的客户端是不是需要把outlook中原来的账号删除后重建?

    谢谢

    2019年4月26日 6:50
  • 您好,

    1.  是的。

    2.  是的。创建内部的 DNS 记录。

    3.  修改证书和 URL 的先后顺序如何,影响不大。

    4.  更换了证书和 URL 后,可先使用下面的命令重置下 IIS。如果有用户有无法正常使用 Outlook 的情况,再尝试下新建 Outlook 配置文件。

    iisreset /noforce

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年4月26日 7:41
    版主
  • 你好

    iisreset /noforce这个命令是在exchange的powershell中运行还是windows的powershell中运行?是必须的吗?它的作用是什么?

    谢谢

    2019年4月26日 7:49
  • 在 Windows PowerShell 或是 cmd 中运行,并且要以管理员身份运行。

    这个命令就是重置 IIS,它会将 OWA、ECP、Autodiscover 等服务停止,然后重启他们,并不会修改相关的设置。不是必要的,如果在修改证书和 URL 后 Outlook 不能正常使用,您可以尝试重置下 IIS 或是新建 Outlook 配置文件。

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年4月26日 8:15
    版主
  • 非常感谢~麻烦了
    2019年4月26日 8:20
  • 嗯没事。如果您在修改证书后遇到了问题,您可以来论坛再发帖提问。

    另外,您可以将帖子中有用的回复标记为答复,这也会帮助其他有相似问题的用户找到可靠的信息。

    感谢您的理解。

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年4月26日 8:36
    版主
  • 嗯,

    另外再问下,邮件服务器安装这SSL证书主要的是为了访问客户端与邮件服务器之间通信的加密和信任,是吧?

    谢谢

    2019年4月28日 1:00
  • 对是的。

    这里还有篇关于证书的官方文档,如果您想对证书有更多了解,您也可以查看这篇文章。因为原文是英文,机器翻译可能会有不通顺的地方:数字证书和 SSL , Digital certificates and SSL

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年4月29日 1:36
    版主
  • 目前为止有任何更新吗?

    如果您已经解决了问题,可以与我们分享吗?这也许会帮助更多有类似问题的人。并且请不要忘记将有用的回复标记为答复。

    此致,

    Lydia Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月7日 9:25
    版主