最近不断在各个论坛看到有关OWA更改密码设置不成功的事情,经过对几个用户的跟踪了解,发现原因其实很简单。现给出如下忠告:
1、安装CA要选择根CA,建议选择企业根CA,如果你需要在公网使用,则企业根CA必须在客户端安装根证书。
2、安装CA时按照惯例会让你写一些资料,什么国家啦、什么名字、组织等等,警告你请你按实际情况来写,不要胡乱填写(我看有的朋友是上网上多了,资料胡乱写惯了),这些资料是证书建立的关键,胡乱的填写,无法生成正确的证书。
3、在IIS里申请证书时,建议选择手工提交,保存出的文件请不要修改(加密编码过,不要手贱),在证书申请里一定要选择从PKS11文件申请。
4、下载根证书一定要是CER格式,其它的可能装不上。
5、回IIS里安装证书时,一定不要删除已挂起的申请,否则请你麻烦重新来过。安装时不要安装错了,是你刚才下载的证书文件。注意:申请证书时的资料应与CA资料一致,证书通用名应该和WEB站点名一致,不要胡乱写(有这个癖好的人请注意!!)。
6、安装好证书后,建议有条件的朋友到微软网站下载一个叫SSL PROBE的软件来确认证书完好正常。不要以为安装上了证书就是好的。要同该软件的检查,并确认有证书的信任关系才有用。
看到这的时候,你应该可以看到证书正常安装了。接下来是要设置SSL。注意,不要在EXCHANGE目录上设置(这样设置以后没有客户证书你连OWA也上不了的),只要在IISADMPWD上设置即可,另外,一定要选择忽略客户证书,否则没有客户证书通不过验证。
做完以上的部分,你应该在CA里已签发证书里看到至少3个证书(分别是管理员、DC和WEB),在本地的IE里内容里可以看到受信任的根证书机构中有一个证书连接,在证书里也有一个。这就说明证书是好的了。
接下来你就可以打开OWA进行密码修改了。在打开时,系统会提示你将转入安全网页,选择是,然后系统会提示你一个证书信息,请选择是(没有这个页,表示证书不被信任!)好,现在看到页面了,还是那句话,不要胡写,域写域名,用户写用户名(不要加域名),按更改吧。系统会提示你是否成功的。
注意点:如果以上方法仍不能实现你的梦想,请你在IIS里重新申请证书,并选择在线更新证书,这一操作通常可以把错误的证书信任关系修正,但记得在CA了吊销原来的证书(不知道是哪个?不会看有效日期吗?)
,
