关于SSL证书和OWA更改密码的忠告

最近不断在各个论坛看到有关OWA更改密码设置不成功的事情，经过对几个用户的跟踪了解，发现原因其实很简单。现给出如下忠告：

1、安装CA要选择根CA，建议选择企业根CA，如果你需要在公网使用，则企业根CA必须在客户端安装根证书。
2、安装CA时按照惯例会让你写一些资料，什么国家啦、什么名字、组织等等，警告你请你按实际情况来写，不要胡乱填写（我看有的朋友是上网上多了，资料胡乱写惯了），这些资料是证书建立的关键，胡乱的填写，无法生成正确的证书。
3、在IIS里申请证书时，建议选择手工提交，保存出的文件请不要修改（加密编码过，不要手贱），在证书申请里一定要选择从PKS11文件申请。
4、下载根证书一定要是CER格式，其它的可能装不上。
5、回IIS里安装证书时，一定不要删除已挂起的申请，否则请你麻烦重新来过。安装时不要安装错了，是你刚才下载的证书文件。注意：申请证书时的资料应与CA资料一致，证书通用名应该和WEB站点名一致，不要胡乱写（有这个癖好的人请注意！！）。
6、安装好证书后，建议有条件的朋友到微软网站下载一个叫SSL PROBE的软件来确认证书完好正常。不要以为安装上了证书就是好的。要同该软件的检查，并确认有证书的信任关系才有用。

看到这的时候，你应该可以看到证书正常安装了。接下来是要设置SSL。注意，不要在EXCHANGE目录上设置（这样设置以后没有客户证书你连OWA也上不了的），只要在IISADMPWD上设置即可，另外，一定要选择忽略客户证书，否则没有客户证书通不过验证。

做完以上的部分，你应该在CA里已签发证书里看到至少3个证书（分别是管理员、DC和WEB），在本地的IE里内容里可以看到受信任的根证书机构中有一个证书连接，在证书里也有一个。这就说明证书是好的了。

接下来你就可以打开OWA进行密码修改了。在打开时，系统会提示你将转入安全网页，选择是，然后系统会提示你一个证书信息，请选择是（没有这个页，表示证书不被信任！）好，现在看到页面了，还是那句话，不要胡写，域写域名，用户写用户名（不要加域名），按更改吧。系统会提示你是否成功的。

注意点：如果以上方法仍不能实现你的梦想，请你在IIS里重新申请证书，并选择在线更新证书，这一操作通常可以把错误的证书信任关系修正，但记得在CA了吊销原来的证书（不知道是哪个？不会看有效日期吗？)