SSL证书是微软很多产品中必不可少的,公司可以通过内部部署证书服务器或是通过公网证书提供商购买证书。两者的区别如下:
-
内部部署CA:不能保证365*24提供服务,客户端默认不信任内部CA。
-
公网购买证书:保证365*24提供服务,客户端默认信任此证书颁发机构。
1. 搭建内部证书服务器
此步骤对大家来说相对比较简单的,搭建好内部证书服务器后,注意记得把吊销列表发布出去即可。在此就不多说明了。
2. 证书的域名规划
如果从公网购买的证书,一定要遵从最少域名的原则,毕竟每个域名都是要花钱的。若是自己内部部署的CA就不存在这个问题了。接下来让我们看看最少需要那些域名:
-
内部域名:huangjh.cn
-
内部CAS服务器FQDN:wld-exch-cas.huangjh.cn
-
内部访问域名:mail.huangjh.cn
-
内部自动发现:autodiscover.huangjh.cn
-
外部域名:wangld.com
-
外部访问域名:mail.wangld.com
-
外部自动发现:autodiscover.wangld.com
-
Office web app server FQDN:
-
Office web app server 内部访问域名:
-
Office web app server 外部访问域名:
注:为了给用户更改的体验和节省域名,建议内外网使用同一域名访问(如果内外域名一致的就不会有这个问题了),而且集成Office Web App Server 2013时可以让FQDN和内外部访问域名一致,这样又可以节省2个域名了。
3. 配置SSL多域名证书
-
转到“服务器”—“证书”---“”新建
-
选择“创建从证书颁发机构获取证书的请求”,点击“下一步”
-
输入证书友好名称---点击“下一步”
-
我们申请的是多域名证书而不是通配符,点击“下一步”
-
点击“浏览”,选择客户端访问服务器----“下一步”
-
下一步
-
根据实际情况可增加和删除域名,下一步
-
填写证书的基本信息,点击“下一步”
-
输入请问文件存放的共享路径,点击“完成”
-
完成后,如下图:
-
打开http://wld-dc/certsrv(wld-dc为证书服务器计算机名)申请证书,点击“申请正式”,如图:
-
点击“高级证书申请”
-
点击“使用base64编码的。。。。。。。。”,如图
-
将刚才请求的req文件打开后复制到此,选择“web服务器”—点击“提交”
-
点击“下载证书”并将证书存放在共享路径下
-
回到ECP控制台,完成搁置的请求,点击“完成”
-
指定证书的共享路径,点击“确定”
-
可以看到证书已经显示有效,但是并没有分配给具体服务,点击“编辑”如下:
-
点击“服务”,----分配服务(SMTPIMAP POP IIS)---点击“保存”,如图:
-
点击“保存”后,会提示你是否覆盖默认的证书,点击“是”
-
现在通过https://mail.wangld.com/owa去访问将不会提示证书错误了,并显示是加密连接,如下图:
通过以上详细的配置,相信大家对证书的处理也有一定的了解了。大家一定要理解每个域名对应是什么用的,这样才能更好的规划多域名证书,在保证安全加密的情况下降低费用。今天SSL多域名的配置希望能帮到大家,感谢大家的关注。