若要为一个或多个Exchange服务启用加密，Exchange服务器需要使用证书。 内部Exchange服务器之间的 SMTP 通信由安装在 Exchange 服务器上的默认自签名证书加密。 若要加密与内部或外部客户端、服务器或服务的通信，可能需要使用由连接到Exchange组织的所有客户端、服务和服务器自动信任的证书。 有关详细信息，请参阅 Exchange 服务的证书要求。

可以在 Exchange 管理中心 (EAC) 或 Exchange Management Shell 中的Exchange服务器上导入 (安装) 证书。

这些是可以在Exchange服务器上导入的证书文件类型：

• PKCS #12 证书文件：这些是具有 .cer、.crt、.der、.p12 或 .pfx 文件名扩展名的二进制证书文件，并且在文件包含私钥或信任链时需要密码。 这些文件类型的示例包括：

  • 通过将 EAC 或 Export-ExchangeCertificate 与 PrivateKeyExportable 参数值$true结合使用从其他Exchange服务器导出的自签名证书。 有关详细信息，请参阅Export a certificate from an Exchange server。

  • 证书颁发机构颁发的证书 (内部 CA（如 Active Directory 证书服务）或商业 CA) 。

  • 例如，从其他服务器导出的证书 (Skype for Business Server) 。

• PKCS #7 证书文件：这些是具有 .p7b 或 .p7c 文件扩展名的文本证书文件。 这些文件包含文本：-----BEGIN CERTIFICATE-----或-----END CERTIFICATE-----``-----BEGIN PKCS7-----和 -----END PKCS7-----。 证书颁发机构可能包括还需要与实际的二进制证书文件一起安装的一系列证书文件。

在开始之前，您需要知道什么？

• 估计完成时间：5 分钟。

• 在 EAC 中，需要从 UNC 路径导入证书文件 (\\<Server>\<Share>\ 或 \\<LocalServerName>\c$\) 。 在 Exchange Management Shell 中，可以指定本地路径。

• 在 EAC 中，可以在多个Exchange服务器上同时导入证书文件 (过程) 步骤 4。

• 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序，请参阅 Open the Exchange Management Shell。

• 您必须先获得权限，然后才能执行此过程或多个过程。若要查看所需的权限，请参阅 客户端和移动设备权限主题中的"客户端访问服务安全"条目。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

 提示

遇到问题？请访问以下 Exchange 论坛寻求帮助：Exchange Server、Exchange Online 或 Exchange Online Protection。

使用 EAC 在一个或多个Exchange服务器上导入证书

1. Open the EAC and navigate to Servers > Certificates.

2. 在 “选择服务器”列表中，选择要在其中安装证书的Exchange服务器，单击 “更多选项，然后选择“导入Exchange证书”。

3. “导入 Exchange 证书”向导打开。在“此向导会从文件导入证书”页上，输入以下信息：

   • 要从中导入的文件：输入证书文件的 UNC 路径和文件名。 例如，\\FileServer01\Data\Fabrikam.cer

   • 密码：如果证书文件包含私钥或信任链，则该文件受密码保护。 在此处输入密码。

   完成后，单击“下一步”。

4. 在 “指定要将此证书应用于页面的服务器”中，单击 “添加添加

   在打开 的“选择服务器”页上，选择要在其中安装证书的Exchange服务器，然后单击 “添加” > 根据需要重复执行此步骤（次数不限）。 选择完服务器后，单击 “确定”。

   完成后，单击 “完成”。 有关后续步骤，请参阅后续步骤部分。

使用 Exchange Management Shell 在Exchange服务器上导入证书

若要导入证书文件，请使用以下语法：

PowerShell复制

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (ConvertTo-SecureString -String '<Password> ' -AsPlainText -Force)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

将此语法与以下类型的证书文件配合使用：

• 具有 .cer、.crt、.der、.p12 或 .pfx 文件扩展名的 PKCS #12 文件 (二进制证书文件) 。
• (具有 .p7b 或 .p7c 文件名扩展名) 的 PKCS #7 文本文件的证书文件链。

本示例导入受本地Exchange服务器上的密码P@ssw0rd1保护的证书文件\\FileServer01\Data\Fabrikam.pfx。

PowerShell复制

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (ConvertTo-SecureString -String 'P@ssw0rd1' -AsPlainText -Force)

本示例导入证书文件 \\FileServer01\Data\Chain of Certificates.p7b链。

PowerShell复制

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

有关详细语法和参数信息，请参阅 Import-ExchangeCertificate。

注意：

• 需要在要导入证书的每个Exchange服务器上重复此过程 (在服务器上运行命令，或者使用 服务器 参数) 。
• 如果证书文件位于运行该命令的Exchange服务器上，则 FileData 参数接受本地路径，并且这是要导入证书的同一服务器。 否则，请使用 UNC 路径。
• 如果希望能够从导入证书的服务器导出证书，则需要将 PrivateKeyExportable 参数与值 $true一起使用。

如何知道操作成功？

若要验证是否已成功导入 (安装) Exchange服务器上的证书，请使用以下任一过程：

• In the EAC at Servers > Certificates, verify the server where you installed the certificate is selected. 该证书应显示在证书的列表中，且“状态”值为“有效”。

• 在安装证书的服务器上的 Exchange Management Shell 中，运行以下命令：

  PowerShell复制

  Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
  

后续步骤

在服务器上安装证书后，需要将证书分配给一个或多个Exchange服务，然后Exchange服务器才能使用证书进行加密。 有关详细信息，请参阅为Exchange Server服务分配证书。