如何为Internet访问配置自动发现服务

我们将具体介绍下面的四种场景：

场景1：一张支持多个DNS名称的证书

场景2：使用一个单一名称的证书

场景3：使用两张单一名称证书

场景4：重定向自动发现服务

下面的表2描述每个所需要的不同要求：

*必须解析到用户用来连接到Exchange服务的主机名称，例如mail.contoso.com。

**必须解析到自动发现的FQDN，例如autodiscover.contoso.com。

场景1：使用一张支持多个DNS名称的证书

下面将描述使用统一通讯证书或者通过Windows证书服务内部创建的证书，如何来配置自动发现服务。使用支持主题备用名称的统一通讯证书是推荐的。

下面的过程描述了如何创建证书请求，来提交给第三方的CA和何时通过Windows的证书服务来使用您自己的内部的公钥基础结构。

步骤1：创建证书请求

为第三方证书授权机构创建证书请求

·        创建证书请求来提交给您的第三方证书授权机构。在客户端访问上，打开Exchange Management Shell然后输入下面的命令：

New-ExchangeCertificate –GenerateRequest -DomainName mail.contoso.com, autodiscover.contoso.com -FriendlyName contosoinc -KeySize 1024 -PrivateKeyExportable:$True –SubjectName "c=USo=contoso inc, CN=server01.contoso.com" -Path c:\certrequest.txt

重要信息：如果您的内部DNS名称和外部的名称不同，您想添加更多的DNS名称到DomainName参数中，例如，您可以输入类似下面的命令：

New-ExchangeCertificate –GenerateRequest -DomainName mail.contoso.com, autodiscover.contoso.com, server01.contoso.local, server01 -FriendlyName contosoinc -KeySize 1024 -PrivateKeyExportable:$True –SubjectName "c=USo=contoso inc, CN=server01.contoso.com" -Path c:\certrequest.txt

注意：您也许被到要包含额外的参数或者也许不知道如何填写主题名称，请和证书授权颁发结构确认需要的参数和必须的信息。

重要信息：如果您打算在其他的客户端访问服务器和ISA服务器上使用该证书，确认包含了PrivateKeyExportable参数，并将它的值设置为$True。

在请求证书之后，下面我们将描述第二步“安装证书”。

步骤1a（可选）安装Windows证书服务并请求证书

您可以使用Windows 证书服务来创建和您自己的套接字层证书。

下面我们将描述如何安装Windows 证书服务并请求一张安全套接字层证书。

通过Windows证书服务来创建一个内部证书请求

1.      如果您还没有做这些的话，在您的邮件基础组织当中的一台运行Windows Server 2003 的服务器上，安装Windows 证书服务。

2.      在运行Windows Server 2003的服务器上，打开添加/删除程序组件并安装证书服务。

注意：在安装证书服务的期间，您将被提示选择要安装哪种类型的CA，选择安装Enterprise CA，并完成向导。

3.      为了创建证书请求，在客户端访问服务器上，打开Exchange Management Shell然后输入下面的命令：

New-ExchangeCertificate –GenerateRequest –DomainName mail.contoso.com, autodiscover.contoso.com –PrivateKeyExportable:$True –Path c:\certreq.txt

重要信息：DomainName后的第一个DNS名称将自动变成证书的公用名称，确定您输入的FQDN，用户是使用它来连接到这样的服务，包括OWA,，Exchange ActiveSync，和Outlook Anywhere。

注意：如果您的内部DNS名称和外部的名称不同，您想添加更多的DNS名称到DomainName参数中，例如，您可以输入类似下面的命令：

New-ExchangeCertificate –GenerateRequest –DomainName mail.contoso.com, autodiscover.contoso.com, machinename, machinename.contoso.local –PrivateKeyExportable:$True –Path c:\certreq.txt

4.      在客户端访问服务器上，打开Internet Explorer，输入URL连接到，您安装证书服务所在的服务器上的证书服务管理页面，例如，或者。

5.      点击Request a certificate，点击Advanced certificate请求，然后选择Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file.

6.      将步骤3中的保存的certreq.txt文件的内容拷贝到Saved Request 区域。

7.      选择Web Server under Certificate模板。

8.      点击Submit。

9.      点击Download certificate然后保存CER文件到C盘，如c:\certnew.cer。

第二步：安装证书

下面我们将描述如何导入并激活第三方证书或者您通过Windows证书服务内部创建的证书，每个方法的步骤都一样。

注意：Import-ExchangeCertificate cmdlet在服务器上的个人证书中安装证书，而Enable-ExchangeCertificate cmdlet将证书安装到Web站点上。

通过Exchange Management Shell来安装和激活安全套接字层证书。

·        要安装和激活安全套接字层证书，在客户端访问服务器上，打开Exchange Management Shell，然后运行下面的命令：

Import-ExchangeCertificate –Path | Enable-ExchangeCertificate -Services iis

第三步：（可选）为最终用户管理和使用根证书

加入域的客户端一般通过组策略将自动获得根证书。然而，也有当这不能够正常工作的时候。如果加入域的客户端不能自动安装根证书，您可以手动配置一个组来分发证书，该证书将被域中的所有成员计算机所信任。

下面的过程只适用于如果您已经通过Windows证书服务创建了您自己的证书。如果该证书是通过Windows证书服务内部创建的，您必须提供该根证书给那些从Internet连接到您的邮件基础结构的Windows移动设备用户和您的Outlook 2007。执行下面的步骤来获得该根证书。

重要信息：

在移动设备上安装根证书要求您使用您的Windows连接该设备。如果您运行Windows XP，您必须安装最新的版本的桌面ActiveSync程序。如果您运行Windows Vista，您可以使用控制面板中的集成的Windows移动设备中心，但是您首先必须下载Windows移动设备中心应用程序。

从证书服务获得根证书

1.      在加入域的计算机上打开Internet Explorer页面，然后输入URL连接到证书服务管理Web页面。

2.      选择Download a CA certificate, certificate chain or CRL选项，然后选择Download a CA certificate选项.

3.      保存.cer文件到桌面，并将该.cer 文件命名为root.cer。

4.      通过电子邮件、FTP站点或者其他方法将该CER文件分发给您的远程用户。

安装安全套接字层证书到您的Outlook 2007 客户端

1.      拷贝该证书到桌面。

2.      双击该根证书。

3.      在证书对话框中，点击General栏上的the Install Certificate按钮。

4.      在Certificate Import Wizard上，点击Next。

5.      选择Place all certificates in the following store然后点击Browse。

6.      在Select Certificate Store窗口上，选择Trusted Root Certification Authorities然后点击OK。

7.      点击Next然后点击Finish。

表2