我们已经使用 Exchange 2010 邮件服务器一年了。今天 Exchange 以及 Forefront TMG 使用的证书已过期。
我们有以下证书链:根 CA 向子 CA 颁发了一张证书,该证书今天也已过期。
SubCA 颁发了一大堆证书(在颁发列表中),但据我了解,主要是 CSPO 和 CA 证书。
我可以访问付费邮件流的所有服务器:RootCA、SubCA、Exchange、Forefront。
我需要采取哪些措施才能恢复邮件运行?
谢谢。
答案1
我最终自己找到了解决方案。
我需要采取的步骤是:
- 从 RootCA 为 SubCA 请求新的 CA 证书。
更新 OCSP 证书以使 OCSP 响应器正常工作
certutil -setreg ca\UseDefinedCACertInRequest 1
通过以下方式更新 Exhcange 服务器证书:
a) 在 EMC 中创建已过期证书的续订请求。结果 -> *.req 文件。b) 将 req 文件复制到 SubCA。c) 在 SubCA 上运行以下命令
certreq -submit -attrib "CertificateTemplate: WebServer" myreqfilename
结果 -> *.cer 文件已生成。
d) 将 cer 文件复制到 EMC 计算机并使用它来完成新的证书注册请求。
- 在 EMC 中将 POP、IMAP、SMTP 和 IIS 服务分配给此证书
- 使用 EMC 中的私钥导出此更新的证书。结果 -> *.pfx 文件。
- 将 pfx 导入 Forefront TMG 上的本地计算机个人证书存储
- 为所有 OWA 发布规则分配新证书。