如何在 Exchange Server 中續訂 WMSVC-SHA2 證書

您想要續訂 WMSVC-SHA2 證書，因為它即將過期。另一個原因是WMSVC-SHA2證書丟失，Web Management Service服務無法啟動。您會在 IIS 和事件日誌中收到與此相關的錯誤。在本文中，您將了解如何在 Exchange Server 中續訂 WMSVC-SHA2 證書。

安裝 Exchange Server 時創建了三個默認證書：

• Microsoft Exchange Server 身份驗證證書（自簽名）
• Microsoft Exchange（自簽名）
• WMSVC 或 WMSVC-SHA2（取決於 Exchange Server 版本）（自簽名）

除了上述默認自簽名證書之外，您還必須在 Exchange Server 上安裝從證書頒發機構 (CA) 獲取的第三方證書：

• 第三方證書（CA 簽名）

WMSVC-SHA2 證書錯誤

讓我們看看當 WMSVC-SHA2 證書丟失或未附加到 Exchange Server 上的 Web Management Service 服務時會發生什麼情況。

開始Windows 服務管理器並選擇網絡管理服務。點擊開始。

出現錯誤：

Windows 無法啟動本地計算機上的 Web 管理服務。有關詳細信息，請查看系統事件日誌。如果這是非 Microsoft 服務，請聯繫服務供應商，並參考特定於服務的錯誤代碼 -217483640。

讓我們開始吧Internet 信息服務 (IIS) 管理器。單擊交換服務器並雙擊管理服務。

管理服務中缺少 SSL 證書，並且有兩個警報：

• 管理服務 (WMSCV) 已停止。必須啟動該服務才能使用 IIS 管理器遠程管理 Web 服務器。
• 無法檢索管理服務 (WMSVC) 設置。

開始事件查看器。點擊Windows 日誌 > 應用程序。按事件 ID 過濾1007。

無法找到來自源 Microsoft-Windows-IIS-IISManager 的事件 ID 1007 的描述。您的本地計算機上未安裝引發此事件的組件，或者安裝已損壞。您可以在本地計算機上安裝或修復該組件。

如果事件源自另一台計算機，則顯示信息必須與事件一起保存。

該活動包含以下信息：

IISWMSVC_STARTUP_UNABLE_TO_READ_CERTIFICATE

無法讀取指紋為“9556b4f47d7c90dcc7e25163299335a825a874f0”的證書。請確保 SSL 證書存在並且在管理服務頁面中配置正確。

進程：WMSvc
用戶=NT AUTHORITYLOCAL SERVICE

消息資源存在，但在消息表中未找到該消息

點擊系統並根據事件 ID 進行過濾7024。

Web 管理服務服務因以下特定於服務的錯誤而終止：
未指定的錯誤

我們發現 Exchange Server 中缺少 WMSVC-SHA2 證書，並且事件查看器中出現錯誤。

如何續訂 WMSVC-SHA2 證書

我們將創建一個新的 WMSVC 證書並將其正確附加到 Web Management Service 服務，以便一切都能按預期工作。如果您的 WMSVC 證書即將過期並且您想要續訂它，則適用相同的步驟。

重要的：不要刪除 WMSVC（Web 管理服務）證書。 WMSVC 是自簽名證書，是遠程管理 Web 服務器所必需的。

建議閱讀：在 Exchange Server 中安裝 ECC（橢圓曲線加密）證書

在我們的示例中，WMSVC 證書被意外刪除，因為工程師認為該證書未附加到任何 Exchange Server 服務並且沒有執行任何操作。

筆記：您必須在缺少 WMSVC-SHA2 證書或想要續訂該證書的每台 Exchange Server 上執行所有步驟。

1.創建新的WMSVC-SHA2證書

在 Exchange Server 中創建新的 WMSVC-SHA2 證書。

以管理員身份運行 Exchange 命令行管理程序。運行新交換證書cmdlet 並填寫詳細信息：

• 主題名稱：證書請求的主題字段。這需要設置為CN=WMSvc-SHA2-ExchangeServerHostName
• 友好名稱：證書的友好名稱。這需要設置為WMSCVC-SHA2。
• 服務：您想要為其啟用自簽名證書的服務。這需要設置為沒有任何。
• 密鑰大小：RSA 公鑰的大小（以位為單位）。這需要設置為2048。
• 私鑰可導出：允許您將證書導出/導入到其他 Exchange 服務器。這需要設置為$真。

您需要在以下命令中進行的唯一更改是將 EX01-2019 更改為您的 Exchange Server 主機名。

New-ExchangeCertificate -SubjectName "CN=WMSvc-SHA2-EX01-2019" -FriendlyName "WMSCVC-SHA2" -Services None -KeySize 2048 -PrivateKeyExportable $true

2.複製新的WMSVC-SHA2證書

將新的 WMSVC-SHA2 證書從個人存儲複製到受信任的根證書頒發機構存儲。

開始微軟管理控制台 (MMC)並添加證書管理單元。

選擇電腦賬戶然後單擊下一個。

點擊好的。

展開文件夾個人 > 證書。右鍵單擊新證書，然後單擊複製。

展開文件夾受信任的根證書頒發機構 > 證書。右鍵單擊該文件夾證書然後單擊粘貼。

驗證新的 WMSVC-SHA2 自簽名證書出現在列表中。

3. 在 Exchange Server 中驗證新的 WMSVC-SHA2 證書

登錄 Exchange 管理中心。點擊服務器 > 證書。如果組織中運行著多個 Exchange Server，請選擇 Exchange Server。

驗證新的WMSVC-SHA2 證書出現在列表中並確保沒有分配任何服務。

4.刪除舊證書

選擇舊證書（如果有），然後單擊刪除圖標在工具欄中。

你將只擁有一份 WMSVC-SHA2 證書在證書列表中。

返回到MMC並展開文件夾個人 > 證書。驗證您只看到一份 WMSVC-SHA2 Exchange 證書。

展開文件夾受信任的根證書頒發機構 > 證書。右鍵單擊舊 WMSVC-SHA2證書（如果有），然後單擊刪除。

只有新的WMSVC-SHA2 證書需要出現在列表中。

5.將WMSVC-SHA2證書分配給Web Management Service服務

開始Internet 信息服務 (IIS) 管理器。點擊交換服務器>管理服務。

選擇WMSVC-SHA2您在上一步中創建的。點擊申請。

點擊開始。

前往Windows 服務管理器並驗證網頁管理服務服務已啟動。

就是這樣！

結論

您了解瞭如何在 Exchange Server 中續訂 WMSVC-SHA2 證書。首先，創建新的 WMSVC-SHA2 證書。之後，刪除舊的 WMSVC-SHA2 證書（如果可用）。接下來，將其附加到 IIS 管理服務。最後，啟動 Web Management Service 服務。

您喜歡這篇文章嗎？您可能還喜歡續訂 Microsoft Exchange Server 身份驗證證書。不要忘記關注我們並分享這篇文章。