將憑證指派給 Exchange Server 服務
在 Exchange 伺服器上安裝憑證之後,您必須先將憑證指派給一或多個 Exchange 服務,Exchange 伺服器才能使用憑證進行加密。 您可以將憑證指派給 Exchange 系統管理中心 (EAC) 或 Exchange 管理命令介面中的服務。 將憑證指派給服務之後,就無法移除指派。 如果您不想再使用特定服務的憑證,您必須將另一個憑證指派給服務,然後移除您不想使用的憑證。
下表說明可用的 Exchange 服務。
| 服務 | 使用 |
|---|---|
| IIS | 使用 HTTP 的內部和外部用戶端連線的 TLS 加密。 這包括: 自動探索 Exchange ActiveSync Exchange 系統管理中心 Exchange Web 服務 離線通訊錄 (OAB) 發佈 Outlook 無所不在 (RPC over HTTP) Outlook MAPI over HTTP Outlook 網頁版 |
| 網際網路訊息存取通訊協定 (IMAP) | IMAP4 用戶端連線的 TLS 加密。 請勿將萬用字元憑證指派給 IMAP4 服務。 請改用 Set-ImapSettings Cmdlet 來設定完整功能變數名稱 (用戶端用來連線到 IMAP4 服務的 FQDN) 。 |
| 流行 | POP3 用戶端連線的 TLS 加密。 請勿將萬用字元憑證指派給 POP3 服務。 請改用 Set-PopSettings Cmdlet 來設定用戶端用來連線到 POP3 服務的 FQDN。 |
| SMTP | 外部 SMTP 用戶端和伺服器連線的 TLS 加密。 Exchange 與其他傳訊伺服器之間的相互 TLS 驗證。 當您將憑證指派給 SMTP 時,系統會提示您取代用來加密內部 Exchange 伺服器之間 SMTP 通訊的預設 Exchange 自我簽署憑證。 一般而言,您不需要取代預設 SMTP 憑證。 |
| 整合通訊 (UM) | 對 Exchange 2016 信箱伺服器上後端 UM 服務的用戶端連線進行 TLS 加密。 當服務的 UM 啟動模式屬性設定為 TLS 或雙重時,您只能將憑證指派給 UM 服務。 如果 UM 啟動模式設定為預設值 TCP,您就無法將憑證指派給 UM 服務。 (注意:UM 無法在 Exchange 2019) 中使用。 如需詳細資訊, 請參閱在信箱伺服器上設定啟動模式。 |
| 整合傳訊呼叫路由器 (UMCallRouter) | 對 Exchange 2016 信箱伺服器上用戶端存取服務中 UM 呼叫路由器服務的用戶端連線進行 TLS 加密。 當服務的 UM 啟動模式屬性設定為 TLS 或雙重時,您只能將憑證指派給 UM 呼叫路由器服務。 如果 UM 啟動模式設定為預設值 TCP,您就無法將憑證指派給 UM 呼叫路由器服務。 (注意:UM 無法在 Exchange 2019) 中使用。 如需詳細資訊,請參閱在用戶端存 取伺服器上設定啟動模式。 |
開始之前有哪些須知?
預估完成時間:5 分鐘。
執行本主題中的程式之後,您可能需要重新開機 Internet Information Services (IIS) 。 在某些情況下,Exchange 可能會繼續使用先前的憑證來加密和解密用於Outlook 網頁版 (先前稱為Outlook Web App) 驗證的 Cookie。 建議您在使用第 4 層負載平衡的環境中重新開機 IIS。
如果您在已訂閱的 Edge Transport Server 上更新或取代由 CA 所發出的憑證,您就必須移除舊憑證,然後先刪除再重新建立 Edge 訂閱。 如需詳細資訊,請參閱<Edge 訂閱程序>。
若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 用戶端和行動裝置 許可權主題中的專案。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange Server、Exchange Online 或 Exchange Online Protection。
使用 EAC 將憑證指派給 Exchange 服務
開啟 EAC,然後流覽至[伺服器憑>證]。
在 [ 選取伺服器] 清單中,選取保存憑證的 Exchange 伺服器。
選取您要設定的憑證,然後按一下[編輯編輯
![] 圖示。](../../exchangeserver/media/itpro_eac_editicon.png?view=exchserver-2019)
憑證必須具有 [狀態 ] 值 [ 有效]。在 [ 服務] 索引 標籤的 [ 指定您要指派此憑證的服務 ] 區段中,選取服務。 請記住,您可以新增服務,但無法將其移除。 完成後,按一下 [儲存]。
使用 Exchange 管理命令介面將憑證指派給 Exchange 服務
若要將憑證指派給 Exchange 服務,請使用下列語法:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
此範例會將具有指紋值 434AC224C8459924B26521298CE8834C514856AB 的憑證指派給 POP、IMAP、IIS 和 SMTP 服務。
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
您可以使用 Get-ExchangeCertificate Cmdlet 來尋找憑證指紋值。
如何知道這是否正常運作?
若要確認您已成功將憑證指派給一或多個 Exchange 服務,請使用下列其中一個程式:
在 [伺服器憑證] 的 EAC中>,確認已選取您安裝憑證的伺服器。 選取憑證,然後在詳細資料窗格中,確認 [指派給服務] 屬性 包含您選取的服務。
在您安裝憑證之伺服器上的 Exchange 管理命令介面中,執行下列命令來驗證憑證的 Exchange 服務:
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services