昨天接到大陸總部MIS的求救電話，從來電中得知他們的EXCHANGE因為憑證於10/3過期，而導致使用者無法透過Outlook Anywhere取得郵件服務。而因為大陸10/1長假放到10/7才上班，因此在10/7才發現，並請求協助。其實這件事應該要他們自己找當初規劃的SI去協助，因為台灣並未使用Exchange2010，但是不曉得為什麼，他們似乎很不喜歡找SI幫忙，因此在基於平時同事的情宜，以及未來可能會有案件需要他們協助，就花了一點時間幫他們看看囉。

 

因為對大陸的Server環境不熟，因此還花了一點時間摸索，大概了解了其ADServer以及Mail Server的架構。其架構主要是由二台Hyper-v伺服器所組成，其架構如下圖一所示。

 

圖一:

   

遠端登入了MailServer主機後，在”IIS”裡的”伺服器憑證”選項，發現了CAS1以及CAS2上的mail.xxx.com.cn憑證於2013/10/3過期，所以目標應該就是CAS1及CAS2這二台伺服器了，不過因為我不確定CAS1以及CAS2的功能是什麼，我以為是憑證伺服器，後來才發現是Eage，害我還在上面花了一點時間找憑證管理介面。

 

然後，既然找到了問題點，後續當然是對憑證進行更新，憑證的更新有二種方式，第一種是透過EMC介面進行更新，另外一種則是透過PowerShell進行更新。不過第一種EMC的方式修正做法並驗證後確定可行，第二種PowerShell的方式在昨天弄好後，今天大陸MIS仍反應無法使用。

 

一、憑證更新:

1、EMC更新

1.到exchange management中的伺服器配置，選擇CAS1伺服器，在過期的憑證上按下右鍵，會出現更新憑證的選項，然後依畫面填寫相關的訊息並存檔，可取得一份req文件。(這時會出現一個擱置的請求)

2.到瀏覽器上登入憑證伺服器，選擇申請憑證，選擇使用base64編碼進行申請，再點選web服務器憑證，然後用記事本打開剛剛那個req文件，把裡面的申請碼複製並貼到憑證伺服器上進行申請，最後會得到一份憑證。

3.接著回到EMC中，點選更新的那一份憑證，在右邊的動作欄上可看到"完成擱置的請求"選項，點選後進行憑證導入的作業。並分配服務後就可以了。最後再將這個憑證另存，再導入CAS2後，即可完成更新。

ps.如果在打開req檔案時，出現亂碼，可以到以下的連結進行轉換。

http://www.motobit.com/util/base64-decoder-encoder.asp

正常格式應該如下圖

如果用寫的看不懂，也可參考以下的連結，有圖文的說明可以參考。

http://wenku.baidu.com/view/34898d6f561252d380eb6e60

 

 

2、PowerShell更新

從CAS1中打開PowerShell，輸入以下指令後可發現已過期的憑證與其 Thumbprint 的值 (忘了剪圖，借一下別人的圖)

Get-ExchangeCertificate | List

   

以上內容來自 <http://blog.miniasp.com/post/2010/05/16/How-to-update-certificate-in-Exchange-Server-2007.aspx>

 

接著依據Thumbprint輸入以下的指令進行更新

Get-ExchangeCertificate –Thumbprint ‘Thumbprint的值’ | New- ExchangeCertificate

並確認更新

 

 

更新後會產生一筆新的憑證記錄，並與舊的憑證共存。

 

接著關閉PowerShell。

 

二、匯入憑證

回到IIS裡的伺服器憑證中，點開所產生的憑證後，我們可以發現會顯示憑證的到期日己展延到2018年，但卻出現憑證不受信任的訊息，於是只好手動匯入憑證。

 

 

 

1.手動匯入憑證

在詳細資料中將憑證匯出

 

直接點擊二下，執行匯出的憑證，並自己選擇憑證存放區，將憑證存放至受信任的根憑證授權單位。

 

再點開新的憑證時，即可發現憑證不受信任的訊息已經消失，且Outlook AnyWhere運作也已正常。

 

PS.此做法會產生一個新的憑證並取代舊的憑證，但在憑證伺服器中，舊憑證並不會自動刪除，因此如果新憑證運作沒有問題的話，就可考慮將舊的憑證刪除掉