曹丹　謝躍偉　王振華

根據(jù)國(guó)家保密標(biāo)準(zhǔn)的要求，軍工企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)實(shí)現(xiàn)物理隔離，一般均通過電子郵件的形式實(shí)現(xiàn)信息共享來提升科研人員的工作效率。Exchange Server通常被用來構(gòu)架企業(yè)郵件系統(tǒng)。在安裝 Microsoft Exchange Server 2007以及客戶端訪問服務(wù)器角色或統(tǒng)一消息服務(wù)器角色時(shí)，如果沒有任何以前存留的數(shù)字證書，將安裝自簽名證書。自簽名證書在安裝 Exchange 2007 的 12 個(gè)月后過期，一旦Exchange 2007系統(tǒng)的數(shù)字證書過期，園區(qū)網(wǎng)內(nèi)所有用戶將不能使用Outlook Express收發(fā)郵件，帶來不可估量的損失。因此在證書過期前，必須手動(dòng)生成新的自簽名證書并完成導(dǎo)入以保證Exchange系統(tǒng)的正常運(yùn)行。

【關(guān)鍵詞】Exchange Server 簽名證書

1 虛擬建設(shè)環(huán)境

操作系統(tǒng)：Windows Server 2003 Standard X64 Edition

域：cgte.com

服務(wù)器FQDN：jymail.cgte.com

服務(wù)器IP：192.168.0.111

2 實(shí)施步驟

2.1 架設(shè)證書發(fā)布網(wǎng)站

運(yùn)行Windows Server 2003的控制面板中的“添加刪除程序”，點(diǎn)選“添加/刪除Windows組件”，在Windows組件向?qū)?duì)話框選中“Certificate Services”，插入Windows Server 2003的安裝光盤，點(diǎn)擊下一步進(jìn)行安裝。

2.2 生成密文

在Exchange服務(wù)器上運(yùn)行“Exchange 命令行管理程序”，輸入以下語(yǔ)句：

New-ExchangeCertificate -GenerateRequest -DomainName jymail.cgte.com -Path c：＼newreq.txt -PrivateKeyExportable $true

執(zhí)行上面的命令后會(huì)在C盤的根目錄下生成一個(gè)newreq.txt的文本文件，用Windows自帶的“記事本”工具打開，獲取申請(qǐng)Exchange證書所需要的密文。

2.3 導(dǎo)出證書

使用瀏覽器訪問證書發(fā)布系統(tǒng)，網(wǎng)址為http：//jymail.cgte.com/certsrv。打開頁(yè)面后點(diǎn)擊 “request a certificate”，進(jìn)入申請(qǐng)證書頁(yè)面。再點(diǎn)擊“advanced certificate request”進(jìn)入高級(jí)證書申請(qǐng)頁(yè)面。點(diǎn)擊第二項(xiàng)：”使用base 64編碼的CMC或PKCS #10文件提交一個(gè)證書申請(qǐng)，或使用base 64編碼的PKCS #7文件續(xù)訂證書申請(qǐng)”。

將newreq.txt中的編碼填入“Saved Request”對(duì)話框，點(diǎn)擊“Submit”按鈕。證書生成完畢后，進(jìn)入證書系統(tǒng)的主頁(yè)面，點(diǎn)擊下載證書，進(jìn)入圖7的頁(yè)面后，選擇Base 64編碼，點(diǎn)擊“Download CA Certificate”下載CA證書到C盤根目錄，將證書文件重命名為jymail.cer。

2.4 刪除原證書

在Exchange服務(wù)器上運(yùn)行“Exchange 命令行管理程序”，在提示符中輸入以下語(yǔ)句：Get-ExchangeCertificate |fl來獲取當(dāng)前服務(wù)器上已導(dǎo)入證書列表的詳細(xì)信息，記錄下過期證書的指紋5113ae0233a72fccb75b1d0198628675333d010e（筆者測(cè)試環(huán)境中的指紋號(hào)）后，使用“Remove-ExchangeCertificate”命令刪除當(dāng)前使用的過期證書。具體命令如下：Remove-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e

2.5 激活新生成的自簽名證書

返回Exchange 命令行管理程序，輸入以下命令：Import-ExchangeCertificate -path c：＼jymail.cer |enable-exchangecertificate –services “IIS，POP，IMAP”執(zhí)行后即可完成導(dǎo)入Exchange證書的工作，并將證書應(yīng)用于“IIS，POP，IMAP”服務(wù)，導(dǎo)入后的證書狀態(tài)如圖1所示。

2.6 實(shí)施后的客戶端測(cè)試

導(dǎo)入證書后，在客戶端使用Outlook Express可以正常收發(fā)郵件，從一個(gè)角度證明了此次證書升級(jí)對(duì)用戶層面是完全透明的。客戶端使用IE瀏覽器通過OWA方式訪問郵件服務(wù)器，會(huì)彈出安全警報(bào)對(duì)話框，點(diǎn)擊查看證書后點(diǎn)擊“安裝證書…”即可進(jìn)入證書導(dǎo)入對(duì)話框，按照提示操作完成新證書的導(dǎo)入工作后可以正常訪問郵件服務(wù)器的OWA界面，使用郵件測(cè)試賬號(hào)進(jìn)行收發(fā)郵件的操作。整個(gè)升級(jí)過程對(duì)用戶均是透明的，也未影響到其它服務(wù)器的正常運(yùn)行。

作者單位

中國(guó)燃?xì)鉁u輪研究院 四川省綿陽(yáng)市 621700endprint