none
重裝 Exchange 問題發表於 : 週一 6月 29, 2009 3:15 pm RRS feed

  • 問題

  • 各位大大, 本人公司是使用exchange 2007, 另外因為些client 在海外工作, 他們會使用"outlook anywhere" 的功能接上公司的exchange.

    本人想問的問題是, 如果公司的exchange 2007 壞了, 我在另一台server 上重裝一個新的 exchange 2007 和 restore 回 mailbox 的 database外, 海外client 的電腦是不是要重新發一張新的certificate 給他們? 會不會有方法不用重新發行新的certificate?

    謝謝各位
    2009年6月30日 上午 01:59

解答

  • 您好!

    當您的Exchange使用的證書是私有CA頒發的證書或者第三方商業CA頒發的證書的時候,您的客戶端不需要安裝Exchange 服務器的證書。

    當您的Exchange使用的證書是私有CA頒發的證書,您的客戶端需要安裝的是私有CA的根證書而不是Exchange服務器上的證書。Exchange服務器上的證書和CA的根證書是兩個不同的概念。

    只有當您的Exchange 服務器使用了自簽名的證書,您的客戶端才需要安裝Exchange 服務器上的證書。

    請問您的Exchange 2007 服務器上安裝的證書是來自私有CA還是第三方商業CA?

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 06:29
    版主
  • 謝謝rock wang的回覆,

    本人用的應該是私人的證書, 因為我是在exchange 2007 使用 "new-exchangecertificate" 產生一個 txt file, 再在本公司自己安裝的ca server 中利用txt file 內容產生了一張cert. 之後再在exchange 中用import-exchangecertificate import cert.

    所以我們公司的海外users 的laptop 都會先安裝了之前ca server 出的cert 才可以接上公司的server.

    ian
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 08:07
  • 您好!

    根據您的回複,您的Exchange 服務器使用是內部私有CA頒發的證書,因此當您重新安裝一個新的Exchange 服務器來恢複郵箱數據庫時,您不需要為海外的客戶端重新頒發證書。因為這些客戶端上已經安裝了您的CA的根證書。

    不過,如果您安裝了新的CAS服務器的話,您需要為新的CAS服務器申請一張數字證書,申請步驟和以前一樣。

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 08:56
    版主
  • 謝謝 rock wang

    了解 也就是說除非我的ca server 因事故而要在新的電腦上重裝 才要發一張新的證書, 否則就算我的exchange 重裝一台新的都不用重新發行證書.  但我想問新的exchange server 是不是應該要重新import 和 active 之前舊的cert. ?

    ian
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 09:01
  • 您好!

    要將舊服務器上的證書導出為.pfx文件(包含私鑰),需要滿足下面的條件:

    •您在舊服務器上申請證書時將PrivateKeyExportable參數設置為$True
    •新服務器的DNS名稱和證書中的issue to名稱保持一致。

    如果滿足上面的條件,您運行下面的命令將舊服務器上的證書導出為.pfx文件,

    Export-ExchangeCertificate –Thumbprint <Thumbprint ID> -Path c:\mycert.pfx –Password -(Get-Credential).Password

    接著將該文件拷貝到新服務器上,運行import-ExchangeCertificate命令導入證書,然後在運行Enable-ExchangeCertificate啓用該證書。

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:04
    2009年6月30日 上午 09:28
    版主
  • hi rock wang,

    謝謝你的回覆, 我會試一下

    ian

    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年7月3日 上午 02:18

所有回覆

  • 您好!

    當您的Exchange使用的證書是私有CA頒發的證書或者第三方商業CA頒發的證書的時候,您的客戶端不需要安裝Exchange 服務器的證書。

    當您的Exchange使用的證書是私有CA頒發的證書,您的客戶端需要安裝的是私有CA的根證書而不是Exchange服務器上的證書。Exchange服務器上的證書和CA的根證書是兩個不同的概念。

    只有當您的Exchange 服務器使用了自簽名的證書,您的客戶端才需要安裝Exchange 服務器上的證書。

    請問您的Exchange 2007 服務器上安裝的證書是來自私有CA還是第三方商業CA?

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 06:29
    版主
  • 謝謝rock wang的回覆,

    本人用的應該是私人的證書, 因為我是在exchange 2007 使用 "new-exchangecertificate" 產生一個 txt file, 再在本公司自己安裝的ca server 中利用txt file 內容產生了一張cert. 之後再在exchange 中用import-exchangecertificate import cert.

    所以我們公司的海外users 的laptop 都會先安裝了之前ca server 出的cert 才可以接上公司的server.

    ian
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 08:07
  • 您好!

    根據您的回複,您的Exchange 服務器使用是內部私有CA頒發的證書,因此當您重新安裝一個新的Exchange 服務器來恢複郵箱數據庫時,您不需要為海外的客戶端重新頒發證書。因為這些客戶端上已經安裝了您的CA的根證書。

    不過,如果您安裝了新的CAS服務器的話,您需要為新的CAS服務器申請一張數字證書,申請步驟和以前一樣。

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 08:56
    版主
  • 謝謝 rock wang

    了解 也就是說除非我的ca server 因事故而要在新的電腦上重裝 才要發一張新的證書, 否則就算我的exchange 重裝一台新的都不用重新發行證書.  但我想問新的exchange server 是不是應該要重新import 和 active 之前舊的cert. ?

    ian
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年6月30日 上午 09:01
  • 您好!

    要將舊服務器上的證書導出為.pfx文件(包含私鑰),需要滿足下面的條件:

    •您在舊服務器上申請證書時將PrivateKeyExportable參數設置為$True
    •新服務器的DNS名稱和證書中的issue to名稱保持一致。

    如果滿足上面的條件,您運行下面的命令將舊服務器上的證書導出為.pfx文件,

    Export-ExchangeCertificate –Thumbprint <Thumbprint ID> -Path c:\mycert.pfx –Password -(Get-Credential).Password

    接著將該文件拷貝到新服務器上,運行import-ExchangeCertificate命令導入證書,然後在運行Enable-ExchangeCertificate啓用該證書。

    Rock Wang 望正茂


    Rock Wang– MSFT
    • 已標示為解答 purpleair15 2009年7月3日 上午 03:04
    2009年6月30日 上午 09:28
    版主
  • hi rock wang,

    謝謝你的回覆, 我會試一下

    ian

    • 已標示為解答 purpleair15 2009年7月3日 上午 03:03
    2009年7月3日 上午 02:18