如何在 Exchange 2016 中將憑證指派給 IMAP/S 和 SMTP/S?

tag-icon tag-icon security exchange certificate imap
如何在 Exchange 2016 中將憑證指派給 IMAP/S 和 SMTP/S?

請告訴我,因為我把頭髮都拔光了。

我有 Exchange 2016,我想將一個正式簽署的憑證分配給 IMAP/S 連接埠 993/tcp 和 SMTP/S 連接埠 465/tcp 。我經歷了幾個配置選項,但檢查連接埠(透過使用nmap)兩個連接埠都提供了絕對不同的憑證。我現在不明白管理 Exchange 憑證的整個概念。

Exchange 上的 IMAP 設定

[PS] C:\Windows\system32>Get-ImapSettings | fl

RunspaceId                        : 669149f3-c8f4-43af-b80c-3019ec26bd08
ProtocolName                      : IMAP4
Name                              : 1
MaxCommandSize                    : 10240
ShowHiddenFoldersEnabled          : False
UnencryptedOrTLSBindings          : {[::]:143, 0.0.0.0:143}
SSLBindings                       : {[::]:993, 0.0.0.0:993}
InternalConnectionSettings        : {mail.doamin.il:143:TLS, mail.domain.il:993:SSL}
ExternalConnectionSettings        : {mail.domain.il:993:SSL, mail.domain.il:143:TLS}
X509CertificateName               : mail.domain.il
Banner                            : The Microsoft Exchange IMAP4 service is ready.
LoginType                         : SecureLogin
AuthenticatedConnectionTimeout    : 00:30:00
PreAuthenticatedConnectionTimeout : 00:01:00
MaxConnections                    : 2147483647
MaxConnectionFromSingleIP         : 2147483647
MaxConnectionsPerUser             : 16
MessageRetrievalMimeFormat        : BestBodyFormat
ProxyTargetPort                   : 1993
CalendarItemRetrievalOption       : iCalendar
OwaServerUrl                      :
EnableExactRFC822Size             : False
LiveIdBasicAuthReplacement        : False
SuppressReadReceipt               : False
ProtocolLogEnabled                : False
EnforceCertificateErrors          : False
LogFileLocation                   : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Imap4
LogFileRollOverSettings           : Hourly
LogPerFileSizeQuota               : 0 B (0 bytes)
ExtendedProtectionPolicy          : None
EnableGSSAPIAndNTLMAuth           : True
Server                            : SERVER
AdminDisplayName                  :
ExchangeVersion                   : 0.10 (14.0.100.0)
DistinguishedName                 : CN=1,CN=IMAP4,CN=Protocols,CN=SERVER,CN=Servers,CN=Exchange Administrative Group (FYDIBO
                                    HF23SPDLT),CN=Administrative Groups,CN=SERVERADS,CN=Microsoft Exchange,CN=Services,CN=Configu
                                    ration, DC=domain,DC=ils
Identity                          : SERVER\1
Guid                              : c2bfe9aa-f252-419a-910d-62687592dc34
ObjectCategory                    : domain.ils/Configuration/Schema/ms-Exch-Protocol-Cfg-IMAP-Server
ObjectClass                       : {top, protocolCfg, protocolCfgIMAP, protocolCfgIMAPServer}
WhenChanged                       : 2024. 01. 23. 20:56:48
WhenCreated                       : 2021. 04. 29. 16:12:26
WhenChangedUTC                    : 2024. 01. 23. 19:56:48
WhenCreatedUTC                    : 2021. 04. 29. 14:12:26
OrganizationId                    :
Id                                : SERVER\1
OriginatingServer                 : DC.domain.ils
IsValid                           : True
ObjectState                       : Unchanged

的結果nmap

[root@revenant ~]# nmap -p 993 --script ssl-cert mail.domain.il
Starting Nmap 7.92 ( https://nmap.org ) at 2024-01-23 22:09 CET
Nmap scan report for mail.domain.il (192.168.99.31)
Host is up (0.00027s latency).

PORT    STATE SERVICE
993/tcp open  imaps
| ssl-cert: Subject: commonName=*.domain.il/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Subject Alternative Name: DNS:*.domain.il
| Issuer: commonName=internal-ca/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2023-06-15T20:20:44
| Not valid after:  2028-06-13T20:20:44
| MD5:   ffc2 d46a f66e b7ee 8f2c 0468 4f39 f01e
|_SHA-1: 626d bfac d38c db8f 5ea9 d328 c42c d94a d9fe 09c1
MAC Address: 00:0C:29:0D:B3:C3 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

澄清一下我有兩張證書。 mail.domain.il 由 Truster 根頒發者簽署,而 *.domain.il 由我的內部 CA 簽署。

Exchange OWA 在 IIS 中配置了 mail.domain.il,並且運作良好,但 EXCHANGE 服務不想接受它,或者我不知道服務如何決定它們的運作。

Enable-ExchangeCertificate -Server SERVER -Thumbprint 1KJ24JH12G41JKG41J23H4G12JKL3G -Services IIS,SMTP,POP,IMAP被使用了幾次。我真的嘗試了一切,但我做不到。

請幫忙。

答案1

您可以將憑證指派給 Exchange 管理中心 (EAC) 或 Exchange 命令列管理程式中的服務。將憑證指派給服務後,您將無法刪除該指派。如果您不想再對特定服務使用某個證書,則需要為該服務指派另一個證書,然後刪除不想使用的證書。

請務必注意,不應將通配符憑證指派給 IMAP4 或 POP3 服務。相反,請使用 Set-ImapSettings cmdlet 設定用戶端用於連​​接到 IMAP4 服務的完全限定網域名稱 (FQDN),並使用 Set-PopSettings cmdlet 設定用戶端用於連​​接到 POP3 服務的 FQDN。

相關內容