none
exchange2007如何删除默认证书 RRS feed

  • 问题

  • 我的exchange2007HUB服务器的默认证书已过期,现已申请并应用了新的证书,可事件查看器还是老提示原来的证书已过期,我想把原来的默认证书删掉用下列命令:

    remove-exchangecertificate -Thumbprint C64E628086304BE0B38FCEAF25F72CB84148710F

    出现错误提示如下:

    Remove-ExchangeCertificate : 无法删除默认证书。
    Parameter name: Thumbprint
    At line:1 char:27
    + remove-exchangecertificate  <<<< -Thumbprint C64E628086304BE0B38FCEAF25F72CB8
    4148710F


     请问如何才能把没用的默认证书删除掉?
    lxqyz
    2009年3月11日 2:49

答案

  •  

    您好!

     

    请问您的Exchange 服务器有没有升级到Exchange 2007 SP1

     

    如果升级到Exchange 2007 SP1的话,您可以运行下面的命令来检查InternalTransportCertificateThumbprint,该指纹就是默认证书的指纹。

     

    Get-TransportServer –identity server_name

     

    如果没有升级到Exchange 2007 SP1,我们没有直接的办法来查看默认证书。

     

    根据您的描述,当您删除指纹C64E628086304BE0B38FCEAF25F72CB84148710F的证书时候,提示不能删除默认证书。该问题是由于您没有将新生成的证书应用到SMTP服务,导致原来的证书仍然是默认证书。

     

    要想删除原来的默认证书,首先您您应该申请一张新证书来替换原来的证书,要称为新的默认证书必须满足下面的条件:

     

    1、 该证书必须有效,

    2、 该证书已经应用到SMTP服务,

    3、 该证书必须在CertificateDomains中包含了物理FQDN名称。

     

    任何满足上述条件的证书,在缺省情况下根据下面这些条件来选择:

     

    1.      PKI Certificates (Certificates issued by a trusted Certificate Authority) are preferred over self signed certificates.

    2.      Of the preferred certificates, choose the newest one based on the NotBefore date.

     

    Whenever Enable-ExchangeCertificate thumbprint –Services SMTP is executed, Exchange goes through a selection process to determine if the Direct Trust Certificate should be updated.

     

    这个时候您就可以删除原来的默认证书了。

     

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已标记为答案 paul.li 2009年3月17日 2:00
    2009年3月11日 6:53
    版主

全部回复

  •  直接用 New-ExchangeCertificate 可以生成新的自颁发证书, 然后再运行 Remove-ExchangeCertificate 删除掉旧的证书
    不过如果只是想更新证书(默认是1年),

    先查到当前证书的指纹:
    Get-ExchangeCertificate -DomainName HUB01.domain.local

    然后再用此命令更新证书
    Get-ExchangeCertificate -Thumbprint xxxxxxxxxxxxxxx | New-ExchangeCertificate

    -Randy
    2009年3月11日 4:59
  • 多谢回复,您说的方法都试过了,还是无法将原来旧的证书删除,还有没有其他办法?
    lxqyz
    2009年3月11日 6:27
  •  

    您好!

     

    请问您的Exchange 服务器有没有升级到Exchange 2007 SP1

     

    如果升级到Exchange 2007 SP1的话,您可以运行下面的命令来检查InternalTransportCertificateThumbprint,该指纹就是默认证书的指纹。

     

    Get-TransportServer –identity server_name

     

    如果没有升级到Exchange 2007 SP1,我们没有直接的办法来查看默认证书。

     

    根据您的描述,当您删除指纹C64E628086304BE0B38FCEAF25F72CB84148710F的证书时候,提示不能删除默认证书。该问题是由于您没有将新生成的证书应用到SMTP服务,导致原来的证书仍然是默认证书。

     

    要想删除原来的默认证书,首先您您应该申请一张新证书来替换原来的证书,要称为新的默认证书必须满足下面的条件:

     

    1、 该证书必须有效,

    2、 该证书已经应用到SMTP服务,

    3、 该证书必须在CertificateDomains中包含了物理FQDN名称。

     

    任何满足上述条件的证书,在缺省情况下根据下面这些条件来选择:

     

    1.      PKI Certificates (Certificates issued by a trusted Certificate Authority) are preferred over self signed certificates.

    2.      Of the preferred certificates, choose the newest one based on the NotBefore date.

     

    Whenever Enable-ExchangeCertificate thumbprint –Services SMTP is executed, Exchange goes through a selection process to determine if the Direct Trust Certificate should be updated.

     

    这个时候您就可以删除原来的默认证书了。

     

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已标记为答案 paul.li 2009年3月17日 2:00
    2009年3月11日 6:53
    版主
  • 多谢回复。问题已解决:我用MMC添加了证书管理控制台,在那里把证书删掉了。然后重新申请了多主机证书,一切搞定。谢谢!
    lxqyz
    2009年3月17日 1:58