加密和证书对每个企业都是十分重要的。默认情况下，Exchange 服务器会使用TLS加密服务器内部各个服务直接的通信。所以Exchange服务器安装完成后会生成好几个证书，每个证书用途不一样。第一次安装Exchange后会生成如下几个证书：

1）、Microsoft Exchange 该证书为Exchange服务器的自签名证书，主要用户Exchange服务器之间的认证通信，每台服务器会生成一个独立的自签名证书。2）、Microsoft Exchange Server Auth Certificate 该证书也为Exchange自签名证书，但是一个组织中的Exchange服务器使用同一张证书，此证书主要用于服务器到服务器的认证【例如：联合身份验证】，以及使用OAut验证的集成应用。【比如：Exchange与Skype For business和SharePoint的集成】。3）、WMSVC 该证书WIndows server的自签名证书，主要用于IIS中的远程管理，每台Exchange 服务器的IIS都会生成一个独立的自签名证书。【例如：使用Exchange Powershell远程连接服务器】Microsoft Exchange 证书更新很简单，只需要在每台Exchange服务器上使用命令New-ExchangeCertificate -server ServerName即可生成一个自签名证书。下面主要介绍一下Microsoft Exchange Server Auth Certificate证书丢失或者过期后如何手动创建该证书。【如下操作适用于Exchange 2013/2016】1、打开Exchange Powershell。2、在任意一台Exchange服务器上使用如下命令创建证书。New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "CN= Microsoft Exchange Server Auth Certificate" -DomainName "*.DOMAINNAME.COM" -FriendlyName "Microsoft Exchange Server Auth Certificate" -Services SMTP命令执行完成后，选择N，将证书Thumbprint指纹复制下来，接下来的命令会使用到

3、使用命令为OAuth认证配置应用新证书。

$date = Get-DateSet-AuthConfig -NewCertificateThumbprint  certificate_thumbprint  –NewCertificateEffectiveDate $date

选择YES。

4、使用命令发布新证书。

Set-AuthConfig –PublishCertificate

如果服务器上存在旧的证书，可以使用如下命令将旧证书进行清除。

Set-AuthConfig -ClearPreviousCertificate

5、证书配置完成后，需要在所有的CAS和Mailbox角色服务器上执行IISRESET命令重启IIS。