使用 ExchangeCertificate cmdlet 導(dǎo)入和配置 TLS 證書時，必須在正在配置的邊緣傳輸服務(wù)器上運行這些 cmdlet 。若要在安裝了邊緣傳輸服務(wù)器角色的計算機上運行 ExchangeCertificate cmdlet，必須使用作為該計算機的本地管理員組成員的帳戶進行登錄 。
要運行 Set-TransportConfig cmdlet，必須為您使用的帳戶委派 Exchange 組織管理員角色 。
要運行 New-SendConnector cmdlet，必須為您使用的帳戶委派該計算機的 Exchange Server 管理員角色和本地管理員組 。
為了實現(xiàn)域安全性，必須完全部署 Microsoft Exchange EdgeSync 服務(wù) 。
生成 TLS 證書的證書請求
如本主題上文中所述，Contoso 有一個從屬于第三方 CA 的內(nèi)部 PKI 。在此示例中，從屬是指 Contoso 在其公司基礎(chǔ)結(jié)構(gòu)中部署的 CA 包含已由公開的第三方 CA 簽名的根證書 。默認(rèn)情況下，公開的第三方 CA 是 Microsoft Windows 證書存儲中的受信任根證書之一 。因此，在信任的根存儲中包括相同的第三方 CA的任何客戶端，當(dāng)它們連接到Contoso，就能夠?qū)ontoso 提供的證書進行身份驗證 。
;
Contoso 有兩個需要 TLS 證書的邊緣傳輸服務(wù)器：mail1.contoso.com 和 mail2.mail.contoso.com 。因此，Contoso 電子郵件管理員必須生成兩個證書請求，每個服務(wù)器對應(yīng)一個證書請求 。
以下步驟顯示管理員用于生成以 base64 編碼的 PKCS#10 證書請求的命令 。Contoso 管理員必須運行兩次此命令：一次對 CN=mail1.contoso.com 運行，另一次對 CN=mail2.mail.contoso.com 運行 。
注意：
結(jié)果證書的主題名稱中的公用名 (CN) 分別是 mail1.contoso.com 和 mail2.mail.contoso.com 。主題備用名稱包含"mail.contoso.com"，這是為 Contoso 配置的一個接受域的完全限定的域名 (FQDN) 。
創(chuàng)建 TLS 證書請求
運行以下命令：
New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate" -Path c:certificatesrequest.p7c -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
重要信息：您創(chuàng)建的證書或證書請求的特定詳細信息取決于許多變量 。如果您正在生成請求，請確保與將頒發(fā)證書的 CA 或 PKI 管理員密切配合 。
傳輸證書和相關(guān)密鑰
當(dāng)您從 PKI 或 CA 提供者那里收到證書后，請將所頒發(fā)的證書轉(zhuǎn)換為 PFX (PKCS#12) 文件，以便將其作為災(zāi)難意外事故的一部分進行備份 。PFX 文件包含證書和相關(guān)密鑰 。在某些情況下，您可能需要傳輸證書和密鑰以將其移動到其他計算機 。例如，如果您有多個邊緣傳輸服務(wù)器，并希望在這些服務(wù)器中發(fā)送和接收"域安全"電子郵件，則您可以創(chuàng)建一個用于所有服務(wù)器的證書 。在這種情況下，您必須在每個邊緣傳輸服務(wù)器上為 TLS 導(dǎo)入并啟用該證書 。
只要將 PFX 文件的副本安全存檔，就始終可以導(dǎo)入和啟用該證書 。PFX 文件包含私鑰，因此通過將該文件保存在安全位置的存儲媒體中進行物理保護非常重要 。
了解 Import-ExchangeCertificate cmdlet 總是將從 PFX 導(dǎo)入的私鑰標(biāo)記為不可導(dǎo)出很重要 。該功能是特意設(shè)計的 。
在使用 Microsoft 管理控制臺 (MMC) 中的證書管理器管理單元來導(dǎo)入 PFX 文件時，可以指定私鑰的可導(dǎo)出性和強密鑰保護 。
重要信息：
不要對用于 TLS 的證書啟用強密鑰保護 。用戶每次訪問私鑰，強密鑰保護都會提示用戶 。對于域安全，此處的"用戶"是指邊緣傳輸服務(wù)器上的 SMTP 服務(wù) 。
將證書導(dǎo)入邊緣傳輸服務(wù)器
管理員生成證書請求之后，使用該請求為服務(wù)器生成證書 。結(jié)果證書必須作為單個證書或證書鏈進行頒發(fā)，并復(fù)制到合適的邊緣傳輸服務(wù)器 。
重要信息：
要導(dǎo)入證書，則必須使用 Import-ExchangeCertificate cmdlet 。

推薦閱讀

• 

  三疊紀(jì)化石種類和特點
• 

  KeyShot中如何導(dǎo)入材質(zhì)
• 

  四驅(qū)車有哪些？
• 

  蠟筆小新是哪個國家出產(chǎn)的
• 

  孩子沉迷網(wǎng)絡(luò)家長應(yīng)如何教育，孩子沉迷網(wǎng)絡(luò)家長應(yīng)如何教育老師
• 

  魅族手機自帶軟件能刪除嗎
• 

  桂味大核是什么原因
• 

  奧迪二手車值得買嗎?
• 

  粉掌花變綠后怎么處理
• 

  騰訊會議中途退出會影響時長嗎
• 

  山海關(guān)房價會漲嗎,山海關(guān)區(qū)可以投資嗎
• 

  武尊神甲怎么做,仙峰《烈焰武尊》新版本前瞻
• 

  早上發(fā)朋友圈的句子 早上發(fā)朋友圈的句子簡短
• 

  前置攝像頭打不開
• 

  我來教你steam出現(xiàn)錯誤代碼118的原因及解決方法 我來教你吧
• 

  巡航調(diào)節(jié)系統(tǒng)的工作原理是什麼

• win7家庭版局域網(wǎng)怎么共享文件 win7家庭版局域網(wǎng)怎么共享文件夾
• 戀愛中女生怎樣給自己安全感 戀愛中如何避免想太多
• web安全主要分為幾個方面 web安全主要分為幾個方面
• 側(cè)安全氣囊位置在哪
• 如何通過組策略將域用戶設(shè)置為本地管理員賬戶
• 消防安全要注意什么事項
• “讓成長更美好”青少年食品安全與營養(yǎng)健康科普教育體驗活動走進廈門肯德基
• 八 ISA 2004王者歸來
• 電腦怎么進入安全模式 電腦怎么進入安全模式win10
• win11電腦安全模式怎么進入 win11開機如何進入安全模式