EXCHANGE2010数字证书过期续签仅能半年？

buaajl

邮件服务器的环境是Windows2008 + Exchange 2010
2年前搭建的，自建的CA申请了数字证书，一切OK，今天用户采用Exchaneg模式客户端的提示数字证书过期，在服务器上一看果然到日子了，申请续签数字证书，也很顺利，用户那边问题也解决了，突然发现新的数字证书到期时间为2013年11月19日，只能用半年？请问各位高手这是为何？是EXCHANGE的问题还是CA的问题？！

钉子

你先查一下CA什时候到期？

buaajl

哈，站长一语中的。其实不是Exchange的问题，是CA的问题。大概在这里解释一下吧，如果站长觉得在此处不妥，就把这个帖子移到别处吧。
       CA是5年前11月份为Exchang2003建立的，有效期是5年（咋建CA网上有的是了）结果2年前5月份升级到Exchange2010，重新向CA申请的证书，现在2年到期，续订证书，但是到11月份正好根证书5年到期，所以会出现这样仅能续订半年证书的情况。
       查看CA时间的方法为，在CA服务器上，打开控制面板里－管理工具－证书颁发机构－右键点击CA属性，查看证书日期，一般都是5年，续订的方法是右键点CA－所有任务－续订CA证书，这样就会再延期5年。
       重新在EXCHANGE上申请续订证书，这时候的申请续订的数字证书时间会是2年，要想延长这个时间需要修改CA服务器的注册表（这个网上也有，大家可以搜一下）
        续订完证书，在EXCHANGE的EMC上完成证书申请的搁置请求，导入证书后，会提示证书不可用，我觉得是虽然在CA上续订了证书，但是在EXCHANGE上还是认为是一个新证书，所以要手动把证书安装一下，既可。最后记得把服务迁移到新证书下，尤其是IIS，改变后可能某些IIS设置需要调整一下，要不会出现用户OWA访问有点问题。

         俺自以为是的给留下的问题解决的办法，结果发现还是有问题，犯了一个基本的错误，这个也讲给大家吧，也许大家都知道了，客户端上需要安装的是根证书而不是导入Exchange的那张，我把EXCHANGE那张证书在客户端装了N多遍都报错。结果发现是这个问题，根源就是没有搞懂数字证书的原理。另外在CA服务器下载根证书的时候还要注意，因为续签了所以有两张根证书，注意要下那个续签的新根证书！

ZipBoy

经验帖，要顶一下的，很多人解决问题后都不会出来分享一下。好帖！

钉子

buaajl 发表于 2013-5-21 09:15
哈，站长一语中的。其实不是Exchange的问题，是CA的问题。大概在这里解释一下吧，如果站长觉得在此处不妥， ...

支持详细的结帖，这样以后大家多一个参考！