Office Web Apps证书的申请步骤讲解

我的Lync server 2013环境介绍

内部域名contoso.com，外部域为tiancang.net,

两个前端服务器，fe01.contoso.com,fe02.contoso.com

两个边缘服务器，edge01.contoso.com,edge02.contoso.com

三个后端数据库，be01.contoso.com,be02.contoso.com,be03.contoso.com

两个持久聊天服务器，chat01.contoso.com,chat02.contoso.com

一个office web apps服务器,owas.contoso.com

technet的有关office web apps的证书详细要求如下：

http://technet.microsoft.com/zh-cn/library/jj219435.aspx

使用 HTTPS 保护 Office Web Apps Server 通信

Office Web Apps Server 可以使用 HTTPS 协议与 SharePoint 2013、Lync Server 2013 和 Exchange Server 2013 通信。在生产环境中，强烈建议使用 HTTPS。您必须安装可分配给运行 Office Web Apps Server 的服务器（如果使用单台服务器）或负载平衡器（如果使用多台运行 Office Web Apps Server 的服务器）的 Internet 服务器证书。

在不包含用户数据的测试环境中，可以对 SharePoint 2013 和 Exchange Server 2013 使用 HTTP 并跳过证书要求。Lync Server 2013 仅支持 HTTPS。

Office Web Apps Server 使用的证书需要符合下列要求：

• 证书必须来自受信任的证书颁发机构，并且在“SAN”（使用者可选名称）字段中包括您的 Office Web Apps Server 场的完全限定域名 (FQDN)。（如果 FQDN 不在“SAN”中，则当您尝试使用证书时，浏览器将显示安全警告或不处理响应。）

• 证书必须具有可导出的私钥。默认情况下，在单服务器场中使用 Internet Information Services (IIS) 管理器管理单元导入证书时，会选择此选项。

• “友好名称”字段在受信任根证书颁发机构存储中必须是唯一的。如果多个证书共享一个“友好名称”字段，创建服务器场将失败，因为 New-OfficeWebAppsFarm cmdlet 将不知道使用其中哪个证书。

• SAN 字段中的 FQDN 不能以星号 (*) 开头。

• Office Web Apps Server 不需要任何特殊证书属性或扩展。例如，不需要客户端增强型密钥使用 (EKU) 扩展或服务器 EKU 扩展。

必须按如下方式导入证书：

• 对于单服务器场   必须在运行 Office Web Apps Server 的服务器上直接导入证书。不要手动绑定证书。您稍后运行的 New-OfficeWebAppsFarm cmdlet 将为您执行此操作。如果手动绑定证书，则服务器每次重启时都会删除该证书。

• 对于负载平衡场   如果卸载 SSL，则必须在硬件负载平衡器上导入证书。如果不卸载 SSL，则必须在 Office Web Apps Server  场中的每个服务器上安装证书。

technet的文章虽说权威，但是总是显得过于啰嗦，下面我总结下：

1、证书必须来自受信任的证书颁发机构，私网证书或者是公网证书都可以；

2、WAC服务器的SAN名称[注：使用者可选名称]中包含OWA服务器的内外部地址；

3、证书必须具有可导出的私钥；

4、证书需要拥有唯一的友好名称，也就是说受信任根证书颁发机构存储中，多个证书不能共用一个友好名称；

5、SAN [注：使用者可选名称]字段中的 FQDN 不能以星号 (*) 开头；

6、Office Web Apps Server 不需要任何特殊证书属性或扩展；

7、直接导入证书，不要手动绑定证书，New-OfficeWebAppsFarm cmdlet 将会绑定证书，如果手动绑定证书，则服务器每次重启时都会删除该证书。

注：office web apps 2013的安装和部署步骤请参照下面的博客地址。

http://1183839.blog.51cto.com/1173839/1140198

Exchange 2013部署系列之(十一)Office Web Apps部署

office web apps 2013申请证书操作步骤如下：

1、因为我的内部域和外部域地址不一样，我们申请具有两个域名的证书。开始，运行MMC，打开控制台根节点，文件，添加和删除管理单元，证书，选择计算机账户，下一步，完成。

2、选择证书，个人，依次打开，所有任务，高级操作，创建自定义请求。

3、证书注册页面，选择下一步，继续证书申请工作

4、选择Active Directory 注册策略，继续下一步

5、模板选择Web 服务器，下一步继续。

6、点击详细信息，然后选择属性。

7、使用者名称选择公用名，把office web apps服务器的外部域名owas.tiancang.net添加进去，

备用名称选择DNS，把我们的office web apps服务器的外部域名owas.tiancang.net和内部域名

owas.contoso.com 都添加进去。

8、友好名称根据自己的实际情况随便填写，我这里是写的owas.tiancang.net

9、选择使私钥可以导出，确定。

10、选择保存位置，文件格式保持默认的Base 64，完成。

11、打开申请证书页面，选择申请证书

12、选择高级证书申请

13、选择使用base64编码。

14、把刚才申请的证书文件复制进来，证书模板选择web服务器。

15、将申请好的证书保存到桌面，文件为certnew.cer。

16、导入certnew.cer到本地计算机，个人文件夹下。

17、继续下一步

18、这样我们就生成了带有可导出私，友好名称为owas.tiancang.net的证书。

19、打开powershell，我们生成office web apps服务器所需的web farm，输入命令:

New-OfficeWebAppsFarm -InternalUrl "https://owas.contoso.com" -ExternalUrl "https://owas.tiancang.net" -CertificateName "owas.tiancang.net" -EditingEnabled

注：如果同时给到sharepoint用，我们可以使用allowhttp参数，如果需要把SSL卸载到负载均衡器，我们可以加SSLOffloaded参数

New-OfficeWebAppsFarm -InternalURL "https://oos.yuntcloud.net" -ExternalURL "https://oos.yuntcloud.net" -CertificateName arr -SSLOffloaded -AllowHttp -EditingEnabled

20、最后我们发布我们的office web apps服务器的443端口，外网就可以使用lync的ppt共享功能了。这个证书是可以给exchange server 2013、lync server 2013和sharepoint server 2013共用的。