****

“为什么我的Exchange 2010老弹证书警告？”“客户说邮箱不安全，老板让我赶紧修！”——如果你正为这类问题头疼，就是为你准备的。SSL证书是Exchange服务器的“安全门锁”，配置不当轻则报错，重则数据泄露。本文用大白话+实战案例，手把手教你搞定Exchange 2010的SSL证书。

一、SSL证书在Exchange 2010中的作用（为什么需要它？）

场景比喻：

想象你家的信箱（Exchange服务器）和邮递员（用户）之间传递信件（邮件）。如果没有SSL证书，就像用透明塑料袋送信，路过的人（黑客）能随意偷看内容；有了SSL证书，相当于给信箱加了密码锁，只有邮递员和你（合法用户）有钥匙。

实际风险案例：

某公司未更新SSL证书导致中间人攻击（MITM），黑客截获了财务部发送的银行账户信息。事后调查发现：旧证书已过期3个月，Outlook频繁弹窗警告却被员工习惯性忽略。

二、Exchange 2010支持的SSL证书类型

1. 自签名证书

- *特点*：免费、快速生成，但浏览器会显示“不安全”警告。

- *适用场景*：测试环境或内网使用（比如开发团队临时测试邮件流）。

- *示例命令*：

```powershell

New-ExchangeCertificate -FriendlyName "Test Cert" -DomainName mail.company.com

```

2. 商业CA颁发的证书

- *推荐品牌*：DigiCert、Sectigo、GlobalSign。

- *关键要求*：必须包含SMTP/IIS等服务名（如mail.company.com、autodiscover.company.com）。

3. 多域名证书（SAN证书）

- *为什么需要*：Exchange 2010默认需要多个服务域名（例如OWA、ActiveSync），单个域名证书会报错。

- *典型错误*：只绑定mail.company.com后，手机ActiveSync连接失败，因为缺少autodiscover.company.com条目。

三、实战配置步骤（以DigiCert为例）

步骤1：生成CSR请求文件

```powershell

Exchange Management Shell执行：

New-ExchangeCertificate -GenerateRequest -Path C:\certreq.txt -KeySize 2048 `

-SubjectName "CN=mail.company.com, OU=IT, O=Company, L=Beijing, C=CN" `

-DomainName mail.company.com, autodiscover.company.com

```

*注*- `DomainName`必须包含所有需要的服务地址。

步骤2：在DigiCert购买并下载证书

- 上传CSR文件到CA平台。

- 验证域名所有权（通常通过DNS添加TXT记录）。

- 下载颁发的`.cer`文件和中间证书链。

步骤3：导入并启用证书

Import-ExchangeCertificate -FileData ([Byte[]](Get-Content -Path C:\cert.cer -Encoding Byte))

Enable-ExchangeCertificate -Thumbprint ABC1234567890 -Services IIS,SMTP

*常见坑点*：忘记绑定`IIS`服务会导致OWA无法HTTPS访问；漏掉`SMTP`会引发邮件传输加密失败。

四、高频故障排查指南

问题1：用户访问OWA提示“证书不受信任”

- *原因*：未安装中间CA证书。

- *解决*：将DigiCert的中间证书（如`DigiCertCA.crt`）导入服务器“受信任的根颁发机构”。

问题2：Outlook持续弹出密码框

- *检查点*：

1. 确保证书的SAN中包含`autodiscover.company.com`。

2. IIS中绑定的主机名与证书匹配。

- *快速验证命令*：

```powershell

Get-ExchangeCertificate | fl Thumbprint,Services,CertificateDomains

```

问题3：手机ActiveSync无法连接

- *排查流程*：

1. 访问https://testexchangeconnectivity.com测试Autodiscover。

2. 若报错“Certificate name mismatch”，需重新申请包含设备域名的SAN证书。

五、进阶技巧与安全建议

1. 定期监控到期时间

用以下脚本自动检测过期日期：

```powershell

Get-ExchangeCertificate | Where { $_.NotAfter -lt (Get-Date).AddDays(30) } | Select FriendlyName,NotAfter

```

2. 禁用弱加密协议

Exchange 2010默认支持TLS 1.0/1.1（已不安全），需手动关闭：

```regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

3. 备份私钥！

重装系统前务必导出PFX文件：

$cert = Get-ChildItem Cert:\LocalMachine\My\ | Where { $_.FriendlyName -eq "Mail Cert" }

Export-PfxCertificate -Cert $cert -FilePath C:\backup.pfx -Password (ConvertTo-SecureString "P@ssw0rd" -AsPlainText)

*

配置SSL证书就像给Exchange穿上防弹衣——步骤虽繁琐，但能避免90%的低级安全风险。按本文操作后，记得用[Qualys SSL Labs](https://www.ssllabs.com/ssltest/)测试你的服务器评分。遇到其他怪问题？欢迎在评论区留言讨论！

TAG:exchange2010ssl证书,exchange2013证书配置,exchange服务器证书过期,exchange证书无效