曹丹　谢跃伟　王振华

根据国家保密标准的要求，军工企业内网与互联网实现物理隔离，一般均通过电子邮件的形式实现信息共享来提升科研人员的工作效率。Exchange Server通常被用来构架企业邮件系统。在安装 Microsoft Exchange Server 2007以及客户端访问服务器角色或统一消息服务器角色时，如果没有任何以前存留的数字证书，将安装自签名证书。自签名证书在安装 Exchange 2007 的 12 个月后过期，一旦Exchange 2007系统的数字证书过期，园区网内所有用户将不能使用Outlook Express收发邮件，带来不可估量的损失。因此在证书过期前，必须手动生成新的自签名证书并完成导入以保证Exchange系统的正常运行。

【关键词】Exchange Server 签名证书

1 虚拟建设环境

操作系统：Windows Server 2003 Standard X64 Edition

域：cgte.com

服务器FQDN：jymail.cgte.com

服务器IP：192.168.0.111

2 实施步骤

2.1 架设证书发布网站

运行Windows Server 2003的控制面板中的“添加删除程序”，点选“添加/删除Windows组件”，在Windows组件向导对话框选中“Certificate Services”，插入Windows Server 2003的安装光盘，点击下一步进行安装。

2.2 生成密文

在Exchange服务器上运行“Exchange 命令行管理程序”，输入以下语句：

New-ExchangeCertificate -GenerateRequest -DomainName jymail.cgte.com -Path c：＼newreq.txt -PrivateKeyExportable $true

执行上面的命令后会在C盘的根目录下生成一个newreq.txt的文本文件，用Windows自带的“记事本”工具打开，获取申请Exchange证书所需要的密文。

2.3 导出证书

使用浏览器访问证书发布系统，网址为http：//jymail.cgte.com/certsrv。打开页面后点击 “request a certificate”，进入申请证书页面。再点击“advanced certificate request”进入高级证书申请页面。点击第二项：”使用base 64编码的CMC或PKCS #10文件提交一个证书申请，或使用base 64编码的PKCS #7文件续订证书申请”。

将newreq.txt中的编码填入“Saved Request”对话框，点击“Submit”按钮。证书生成完毕后，进入证书系统的主页面，点击下载证书，进入图7的页面后，选择Base 64编码，点击“Download CA Certificate”下载CA证书到C盘根目录，将证书文件重命名为jymail.cer。

2.4 删除原证书

在Exchange服务器上运行“Exchange 命令行管理程序”，在提示符中输入以下语句：Get-ExchangeCertificate |fl来获取当前服务器上已导入证书列表的详细信息，记录下过期证书的指纹5113ae0233a72fccb75b1d0198628675333d010e（笔者测试环境中的指纹号）后，使用“Remove-ExchangeCertificate”命令删除当前使用的过期证书。具体命令如下：Remove-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e

2.5 激活新生成的自签名证书

返回Exchange 命令行管理程序，输入以下命令：Import-ExchangeCertificate -path c：＼jymail.cer |enable-exchangecertificate –services “IIS，POP，IMAP”执行后即可完成导入Exchange证书的工作，并将证书应用于“IIS，POP，IMAP”服务，导入后的证书状态如图1所示。

2.6 实施后的客户端测试

导入证书后，在客户端使用Outlook Express可以正常收发邮件，从一个角度证明了此次证书升级对用户层面是完全透明的。客户端使用IE浏览器通过OWA方式访问邮件服务器，会弹出安全警报对话框，点击查看证书后点击“安装证书…”即可进入证书导入对话框，按照提示操作完成新证书的导入工作后可以正常访问邮件服务器的OWA界面，使用邮件测试账号进行收发邮件的操作。整个升级过程对用户均是透明的，也未影响到其它服务器的正常运行。

作者单位

中国燃气涡轮研究院 四川省绵阳市 621700endprint