一、获取SSL证书
1.获取证书文件
在您完成申请数安时代GDCA服务器证书的流程后,将获取一个证书包,解压使用Apache_IIS_Tomcat_Server目录下的两个证书文件,示例如下:
2.获取私钥证书文件
请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到。
3. 合成.PFX格式证书
1)用浏览器打开以下链接: https://www.trustauth.cn/SSLTool/tool/export_pfx.jsp
2)选择右侧的“在线导出PFX、PKCS12”
3)用记事本或者文本编辑器分别打开上面的证书公钥www.trustauth.cn.crt、私钥文件www.trustauth.cn.key(示例)、中级证书issuer.crt,并分别复制打开的文件内容,根据下图依次粘贴填入合成证书的信息内容,导出后会下载一个www.trustauth.cn.pfx(示例)的文件:
注:PFX密码个人设置,六位以上。
二、安装服务器证书
上传.pfx文件到服务器,在Exchange 管理控制台中,左边点击“服务器配置”—中间选中“要部署证书的服务”-右边选中“导入Exchange证书”。
点击“浏览”选择刚上传的PFX格式的证书,输入证书密码,进入下一步,如下图所示:
在“选择服务器”这一步中,选中要部署的服务器,点“下一步”。
导入证书完成,如下图所示。单击“完成”关闭此向导。
三、安装中级证书
打开证书包Apache_IIS_Tomcat_Server,找到issuer.crt上传到服务器。然后点击“开始”=>“运行”=>“mmc”。
打开控制台,点击“文件”=>“添加/删除管理单元”。
找到“证书”点击“添加”。
选择“计算机账户”,点击“下一步”。
选择“本地计算机”,点“完成” ,进入MMC控制台。
选中“中级证书颁发机构”,右键选中“所有任务”-“导入”。
点击“浏览”,找到中级证书issuer.crt,然后点击“下一步”。
选中“将所有的证书放入下列存储”,证书存储“中级证书颁发机构”,点击“下一步”。
点击“完成”。
四、对安装的证书分配服务
右键点击导入的证书,选择“为证书分配服务”。
将服务分配到证书。
覆盖替换现有SMTP的证书。
完成证书分配服务。
五、注意事项
1、在线生成pfx格式证书的时候,其实也已经将中级证书一并合成,第三步骤导入中级证书这一步可以忽略。这个要看实际情况,假如浏览器访问Exchange2010,提示安全证书没效,就是中级证书没有导入或不生效的情况。
2、登录到Exchange2010后,使用Outlook提示出现的报错:
按照上面的提示去排除,对比名称无效与网站的名称是否不相符。
3、解决方法
(1).如果Outlook部署加了AD,需要进入到AD服务器,打开iis查看是否配置了自签的证书,只要取消就可以。
(2).点击查看证书如果是最新的证书,也符合现在的部署。证明安全证书尚没有生效,Outlook读取的安全证书还是旧的,还没有同步到Exchange2010服务器, 需要重新配置新的outlook或换台电脑去登录尝试。
六、服务器证书的备份及恢复
1. 证书的备份
请保存好上面合成的www.trustauth.cn.pfx(示例)的文件,并且牢记设置的密码!
2. 证书的恢复
按照“二、安装服务器证书”操作即可。
七、证书遗失处理
若您的证书文件损坏或者丢失且没有证书的备份文件,请联系GDCA客服办理遗失补办业务,重新签发服务器证书。