Exchange 2010通配符SSL证书安装文档

一、获取SSL证书

1.1、选择SSL证书

从沃通申请证书后,将会下载一个.zip的压缩包，解压该压缩包，得到for Apache.zip、for Nginx.zip、for Other Server.zip三个压缩包，Exchenge 2010服务器需要用到for Nginx.zip中.crt文件以及申请证书时创建CSR过程保存的私钥.key文件。

1.2、合成SSL证书

由于Exchange服务器要求导入PFX格式的证书，所以要将上面说的两个文件合成.pfx格式的文件，具体步骤如下：

合成工具下载：

https://download.wotrus.com/wotrus/wosigncode.exe

下载并运行wosigncode.exe工具，点击证书，选择转换证书格式，原始格式pem，目标格式pfx，证书文件选择for Nginx.zip解压出来的.crt文件，私钥选择创建CSR过程保存的私钥.key文件，设置pfx密码，点击转换，输入名称，保存下来即可，详情可见下图：

注意:私钥密码一般为空，若创建CSR时设置了私钥密码，则此处私钥密码和PFX密码请与之前设置的私钥密码保持一致。

二、安装SSL证书

2.1、导入SSL证书

1.登录到Exchange所在的服务器(多台请重复执行后面步骤)，点击左下角的开始菜单，输入MMC，运行mmc.exe,具体见图1、2；

2.在弹出的控制台界面上，点击“文件”-“添加删除管理单元”，见图3；

3.在新弹出的界面左侧“可用的管理单元中”，找到“证书”，点击中间的“添加”，选择“计算机账户”-“本地计算机”，具体见图4、5、6；

4.双击控制台左侧的“证书(本地计算机)”，右键列表中的“个人”，选择“所有任务”-“导入”，具体见图7；

5.点击“下一步”-“浏览”，选择“个人信息交换”，然后选择之前合成好的.pfx证书导入，具体见图8；

6.选择pfx证书后，点击“打开”-“下一步”，输入之前合成pfx时设置的密码，点击“下一步”，选择“根据证书类型，自动选择存储机构”，点击“下一步”-“完成”，具体见图9；

证书导入完成后，在“个人”-“证书”目录下，可见到该域名证书

按照上述设置后，接下来就可以去Exchange2010服务器上分配证书啦！

2.2、分配SSL证书

打开Exchange 2010 管理控制台，在“服务器配置”-“Exchange证书”中找到导入的证书，右键该证书，选择“为证书分配服务”。

选择待分配服务，此处请不需要勾选IMAP(Internet邮件访问协议)和POP(邮局协议)，IMAP和POP服务的证书分配请参考下面的备注“IMAP和POP服务的证书分配”：

备注:IMAP和POP服务的证书分配

使用通配符证书时，IMAP和POP服务需要通过命令行的方式分配证书，命令如下：

Set-POPSettings -X509CertificateName exchange2010.example.com

Set-IMAPSettings -X509CertificateName exchange2010.example.com

Restart-service MSExchangePOP3

Restart-service MSExchangeIMAP4

具体参考链接:

https://www.lisenet.com/2014/configure-wildcard-ssl-certificate-for-pop-imap-on-exchange-2010-server/

三、测试SSL访问

打开浏览器，输入https://yourdomain.com（证书绑定的实际域名），如浏览器地址栏显示加密小锁，则表示证书配置成功。若显示无法连接，请确保防火墙或安全组等策略有放行443端口（SSL配置端口）。

四、备份SSL证书

请将下载的.zip压缩包和自主生成的私钥.key文件备份，以防丢失，影响后续使用！