最近不断在各个论坛看到有关OWA更改密码设置不成功的事情,经过对几个用户的跟踪了解,发现原因其实很简单。现给出如下警告:
1、安装CA要选择根CA,建议选择企业根CA,如果你需要在公网使用,则企业根CA必须在客户端安装根证书。
2、安装CA时按照惯例会让你写一些资料,什么国家啦、什么名字、组织等等,警告你请你按实际情况来写,不要胡乱填写(我看有的朋友是上网上多了,资料胡乱写惯了,安全意识到很强嘛),这些资料是证书建立的关键,胡乱的写,你要能生成正确的证书,你来找我。
3、在IIS里申请证书时,建议选择手工提交,保存出的文件请不要修改(加密编码过,不要手贱),在证书申请里一定要选择从PKS11文件申请,其他的错了你自己负责。
4、下载根证书一定要是CER格式,其他的装不上不要找我。
5、回IIS里安装证书时,一定不要删除已挂起的申请,否则请你麻烦重新来过。安装时不要安装错了,是你刚才下载的证书文件。注意:申请证书时的资料应与CA资料一致,证书通用名应该和WEB站点名一致,不要胡乱写(有这个癖好的人请你注意!!不要说我没有警告过)。
6、安装好证书后,建议有条件的朋友到微软网站下载一个叫SSL PROBE的软件来确认证书完好正常。不要以为安装上了证书就是好的。要同该软件的检查,并确认有证书的信任关系才有用。
感谢你看我写了那么多的废话,但你看到这的时候,你应该可以看到证书正常安装了。接下来是要设置SSL。注意,不要在EXCHANGE目录上设置(也不知道是哪个BT说要的,这样设置以后没有客户证书你连OWA也上不了的),只要在IISADMPWD上设置即可,另外,一定要选择忽略客户证书,否则没有客户证书同不过验证是你的事,干我P事。
做完以上的部分,你应该在CA里已签发证书里看到至少3个证书(分别是管理员、DC和WEB),在本地的IE里内容里可以看到受信任的根证书机构中有一个证书连接,在证书里也有一个。这就说明证书是好的了。
接下来你就可以打开OWA进行密码修改了。在打开时,系统会提示你将转入安全网页,选择是,然后系统会提示你一个证书信息,请选择是(没有这个页,表示证书不被信任,怎么办?废话,重来!)好,现在看到页面了,还是那句话,不要胡写,域写域名(不知道什么?那你来这做什么?一边玩去),用户写用户名(不要加域名),按更改吧。系统会提示你是否成功的。
注意点:如果以上方法仍不能实现你的梦想,请你在IIS里重新申请证书,并选择在线更新证书,这一操作通常可以把错误的证书信任关系修正,但记得在CA了吊销原来的证书(不知道是哪个?不会看有效日期吗?BT)
-------------------
希望大家在做测试的时候本着认真负责的态度去做,不要养成胡乱写资料,乱设域名的恶习。也希望类似这样的问题能在本版消失。谢谢!!