內網Exchange自簽名證書的設計與實現

曹丹　謝躍偉　王振華

根據國家保密標準的要求，軍工企業內網與互聯網實現物理隔離，一般均通過電子郵件的形式實現信息共享來提升科研人員的工作效率。Exchange Server通常被用來構架企業郵件系統。在安裝 Microsoft Exchange Server 2007以及客戶端訪問服務器角色或統一消息服務器角色時，如果沒有任何以前存留的數字證書，將安裝自簽名證書。自簽名證書在安裝 Exchange 2007 的 12 個月后過期，一旦Exchange 2007系統的數字證書過期，園區網內所有用戶將不能使用Outlook Express收發郵件，帶來不可估量的損失。因此在證書過期前，必須手動生成新的自簽名證書并完成導入以保證Exchange系統的正常運行。

【關鍵詞】Exchange Server 簽名證書

1 虛擬建設環境

操作系統：Windows Server 2003 Standard X64 Edition

域：cgte.com

服務器FQDN：jymail.cgte.com

服務器IP：192.168.0.111

2 實施步驟

2.1 架設證書發布網站

運行Windows Server 2003的控制面板中的“添加刪除程序”，點選“添加/刪除Windows組件”，在Windows組件向導對話框選中“Certificate Services”，插入Windows Server 2003的安裝光盤，點擊下一步進行安裝。

2.2 生成密文

在Exchange服務器上運行“Exchange 命令行管理程序”，輸入以下語句：

New-ExchangeCertificate -GenerateRequest -DomainName jymail.cgte.com -Path c：＼newreq.txt -PrivateKeyExportable $true

執行上面的命令后會在C盤的根目錄下生成一個newreq.txt的文本文件，用Windows自帶的“記事本”工具打開，獲取申請Exchange證書所需要的密文。

2.3 導出證書

使用瀏覽器訪問證書發布系統，網址為http：//jymail.cgte.com/certsrv。打開頁面后點擊 “request a certificate”，進入申請證書頁面。再點擊“advanced certificate request”進入高級證書申請頁面。點擊第二項：”使用base 64編碼的CMC或PKCS #10文件提交一個證書申請，或使用base 64編碼的PKCS #7文件續訂證書申請”。

將newreq.txt中的編碼填入“Saved Request”對話框，點擊“Submit”按鈕。證書生成完畢后，進入證書系統的主頁面，點擊下載證書，進入圖7的頁面后，選擇Base 64編碼，點擊“Download CA Certificate”下載CA證書到C盤根目錄，將證書文件重命名為jymail.cer。

2.4 刪除原證書

在Exchange服務器上運行“Exchange 命令行管理程序”，在提示符中輸入以下語句：Get-ExchangeCertificate |fl來獲取當前服務器上已導入證書列表的詳細信息，記錄下過期證書的指紋5113ae0233a72fccb75b1d0198628675333d010e（筆者測試環境中的指紋號）后，使用“Remove-ExchangeCertificate”命令刪除當前使用的過期證書。具體命令如下：Remove-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e

2.5 激活新生成的自簽名證書

返回Exchange 命令行管理程序，輸入以下命令：Import-ExchangeCertificate -path c：＼jymail.cer |enable-exchangecertificate –services “IIS，POP，IMAP”執行后即可完成導入Exchange證書的工作，并將證書應用于“IIS，POP，IMAP”服務，導入后的證書狀態如圖1所示。

2.6 實施后的客戶端測試

導入證書后，在客戶端使用Outlook Express可以正常收發郵件，從一個角度證明了此次證書升級對用戶層面是完全透明的。客戶端使用IE瀏覽器通過OWA方式訪問郵件服務器，會彈出安全警報對話框，點擊查看證書后點擊“安裝證書…”即可進入證書導入對話框，按照提示操作完成新證書的導入工作后可以正常訪問郵件服務器的OWA界面，使用郵件測試賬號進行收發郵件的操作。整個升級過程對用戶均是透明的，也未影響到其它服務器的正常運行。

作者單位

中國燃氣渦輪研究院 四川省綿陽市 621700endprint