安装 Exchange 服务器时会默认创建三张自签名证书:
当这些证书将要过期或已过期,可使用以下方法续订,这里主要对前两张证书的续订过程进行详细介绍:
I. Microsoft Exchange Server Auth Certificate
若证书尚未过期:
1. 使用Exchange管理中心(EAC)或命令行续订证书
此处以EAC为例:服务器 > 证书 > Microsoft Exchange Server Auth Certificate > 续订
2. 复制续订后证书的指纹(EAC中选中证书 > 常规 > 复制指纹),并运行以下命令行
$date = get-date
指定新证书及其生效日期
Set-AuthConfig -NewCertificateThumbprint "XXXXXXXX" -NewCertificateEffectiveDate $date
发布证书
Set-AuthConfig -PublishCertificate
3. 以管理员身份打开cmd并运行iisreset使更新立即生效
若证书已经过期:
1. 仍使用Exchange管理中心(EAC)或命令行续订证书。
请注意:此时续订会创建另一个名为Microsoft Exchange Server Auth Certificate的证书。该证书的有效期为5年,具有新的指纹,并且仅在续订了证书的服务器上存在。
2. 复制新证书的指纹,并运行以下命令行
$date = get-date
Set-AuthConfig -NewCertificateThumbprint "XXXXXXX" -NewCertificateEffectiveDate $date
Set-AuthConfig -PublishCertificate
从配置中删除旧的过期证书
Set-AuthConfig -ClearPreviousCertificate
由于我们已经删除了对过期证书的所有引用,因此可将其从Exchange服务器中删除。
Remove-ExchangeCertificate -thumbprint XXXXXXXX
3. 以管理员身份打开cmd并运行iisreset使更新立即生效。
请注意:在大型环境中,可能需要等待长达24小时才能完成上面的续订步骤。
最后,续订步骤全部完成,检查证书是否已安装在每台Exchange服务器上:
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate
应在每台Exchange服务器上收到如上所述的结果,所有服务器上的指纹都应相同。
II. Microsoft Exchange (过期,未过期续订方法一致)
1. 使用Exchange管理中心(EAC)或命令行续订证书
此处以命令行为例:
Get-ExchangeCertificate -Thumbprint XXXXXXX | New-ExchangeCertificate -Force -PrivateKeyExportable $true
2. 为这张证书分配IIS服务
3. 删除旧证书
Remove-ExchangeCertificate -thumbprint XXXXXXXX
4. 在IIS manager中,将新证书添加到后端绑定。左侧选择Exchange Back End > Bindings > 444端口 > 选择Microsoft Exchange
5. 以管理员身份打开cmd并运行iisreset使更新立即生效