如何在 Exchange Server 中续订 WMSVC-SHA2 证书
您想要续订 WMSVC-SHA2 证书,因为它即将过期。另一个原因是WMSVC-SHA2证书丢失,Web Management Service服务无法启动。您会在 IIS 和事件日志中收到与此相关的错误。在本文中,您将了解如何在 Exchange Server 中续订 WMSVC-SHA2 证书。
安装 Exchange Server 时创建了三个默认证书:
- Microsoft Exchange Server 身份验证证书(自签名)
- Microsoft Exchange(自签名)
- WMSVC 或 WMSVC-SHA2(取决于 Exchange Server 版本)(自签名)
除了上述默认自签名证书之外,您还必须在 Exchange Server 上安装从证书颁发机构 (CA) 获取的第三方证书:
- 第三方证书(CA 签名)
WMSVC-SHA2 证书错误
让我们看看当 WMSVC-SHA2 证书丢失或未附加到 Exchange Server 上的 Web Management Service 服务时会发生什么情况。
开始Windows 服务管理器并选择网络管理服务。点击开始。
出现错误:
Windows 无法启动本地计算机上的 Web 管理服务。有关详细信息,请查看系统事件日志。如果这是非 Microsoft 服务,请联系服务供应商,并参考特定于服务的错误代码 -217483640。
让我们开始吧Internet 信息服务 (IIS) 管理器。单击交换服务器并双击管理服务。
管理服务中缺少 SSL 证书,并且有两个警报:
- 管理服务 (WMSCV) 已停止。必须启动该服务才能使用 IIS 管理器远程管理 Web 服务器。
- 无法检索管理服务 (WMSVC) 设置。
开始事件查看器。点击Windows 日志 > 应用程序。按事件 ID 过滤1007。
无法找到来自源 Microsoft-Windows-IIS-IISManager 的事件 ID 1007 的描述。您的本地计算机上未安装引发此事件的组件,或者安装已损坏。您可以在本地计算机上安装或修复该组件。
如果事件源自另一台计算机,则显示信息必须与事件一起保存。
该活动包含以下信息:
IISWMSVC_STARTUP_UNABLE_TO_READ_CERTIFICATE
无法读取指纹为“9556b4f47d7c90dcc7e25163299335a825a874f0”的证书。请确保 SSL 证书存在并且在管理服务页面中配置正确。
进程:WMSvc
用户=NT AUTHORITYLOCAL SERVICE
消息资源存在,但在消息表中未找到该消息
点击系统并根据事件 ID 进行过滤7024。
Web 管理服务服务因以下特定于服务的错误而终止:
未指定的错误
我们发现 Exchange Server 中缺少 WMSVC-SHA2 证书,并且事件查看器中出现错误。
如何续订 WMSVC-SHA2 证书
我们将创建一个新的 WMSVC 证书并将其正确附加到 Web Management Service 服务,以便一切都能按预期工作。如果您的 WMSVC 证书即将过期并且您想要续订它,则适用相同的步骤。
重要的:不要删除 WMSVC(Web 管理服务)证书。 WMSVC 是自签名证书,是远程管理 Web 服务器所必需的。
建议阅读:在 Exchange Server 中安装 ECC(椭圆曲线加密)证书
在我们的示例中,WMSVC 证书被意外删除,因为工程师认为该证书未附加到任何 Exchange Server 服务并且没有执行任何操作。
笔记:您必须在缺少 WMSVC-SHA2 证书或想要续订该证书的每台 Exchange Server 上执行所有步骤。
1.创建新的WMSVC-SHA2证书
在 Exchange Server 中创建新的 WMSVC-SHA2 证书。
以管理员身份运行 Exchange 命令行管理程序。运行新交换证书cmdlet 并填写详细信息:
- 主题名称:证书请求的主题字段。这需要设置为CN=WMSvc-SHA2-ExchangeServerHostName
- 友好名称:证书的友好名称。这需要设置为WMSCVC-SHA2。
- 服务:您想要为其启用自签名证书的服务。这需要设置为没有任何。
- 密钥大小:RSA 公钥的大小(以位为单位)。这需要设置为2048。
- 私钥可导出:允许您将证书导出/导入到其他 Exchange 服务器。这需要设置为$真。
您需要在以下命令中进行的唯一更改是将 EX01-2019 更改为您的 Exchange Server 主机名。
New-ExchangeCertificate -SubjectName "CN=WMSvc-SHA2-EX01-2019" -FriendlyName "WMSCVC-SHA2" -Services None -KeySize 2048 -PrivateKeyExportable $true2.复制新的WMSVC-SHA2证书
将新的 WMSVC-SHA2 证书从个人存储复制到受信任的根证书颁发机构存储。
开始微软管理控制台 (MMC)并添加证书管理单元。
选择电脑账户然后单击下一个。
点击好的。
展开文件夹个人 > 证书。右键单击新证书,然后单击复制。
展开文件夹受信任的根证书颁发机构 > 证书。右键单击该文件夹证书然后单击粘贴。
验证新的 WMSVC-SHA2 自签名证书出现在列表中。
3. 在 Exchange Server 中验证新的 WMSVC-SHA2 证书
登录 Exchange 管理中心。点击服务器 > 证书。如果组织中运行着多个 Exchange Server,请选择 Exchange Server。
验证新的WMSVC-SHA2 证书出现在列表中并确保没有分配任何服务。
4.删除旧证书
选择旧证书(如果有),然后单击删除图标在工具栏中。
你将只拥有一份 WMSVC-SHA2 证书在证书列表中。
返回到MMC并展开文件夹个人 > 证书。验证您只看到一份 WMSVC-SHA2 Exchange 证书。
展开文件夹受信任的根证书颁发机构 > 证书。右键单击旧 WMSVC-SHA2证书(如果有),然后单击删除。
只有新的WMSVC-SHA2 证书需要出现在列表中。
5.将WMSVC-SHA2证书分配给Web Management Service服务
开始Internet 信息服务 (IIS) 管理器。点击交换服务器>管理服务。
选择WMSVC-SHA2您在上一步中创建的。点击申请。
点击开始。
前往Windows 服务管理器并验证网页管理服务服务已启动。
就是这样!
结论
您了解了如何在 Exchange Server 中续订 WMSVC-SHA2 证书。首先,创建新的 WMSVC-SHA2 证书。之后,删除旧的 WMSVC-SHA2 证书(如果可用)。接下来,将其附加到 IIS 管理服务。最后,启动 Web Management Service 服务。
您喜欢这篇文章吗?您可能还喜欢续订 Microsoft Exchange Server 身份验证证书。不要忘记关注我们并分享这篇文章。
