" title="快乐分享（zhuzengju个人blog）

微软官方原文：
https://learn.microsoft.com/zh-cn/exchange/plan-and-deploy/integration-with-sharepoint-and-skype/maintain-oauth-certificate

这里提取操作步骤的精华部分，可供有经验的运维工程师参考。
遗漏从 Exchange 服务器具有用于签署 OAuth 的 Exchange 服务器验证凭证时，就会发生这个问题。您可以执行下列命令以检查凭证是否遗失：
Get-ExchangeCertificate (Get-AuthConfig).CurrentCertificateThumbprint

要查看现有 OAuth 证书的状态，请在 Exchange Management Shell 中运行以下命令：
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List


注意：接下来的程序将会产生一张新的OAuth凭证并发布至组织中的每一台Exchange服务器，并且需要等待生效时间才能成功登入至OWA/ECP
如果命令返回错误或证书已过期，请使用以下步骤新建 OAuth 证书并将其部署到 Exchange Server：

1. 执行下列命令，以建立新的 OAuth 认证：
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName "邮件服务器FQDN域名"

*产生新凭证后，会提示是否取代现有的SMTP凭证，请输入’N’
*这里请留意新证书的指纹码信息，下面一条命令要用到

2. 设置服务器身份验证的新证书以进行服务器验证，执行下列三条命令：
Set-AuthConfig -NewCertificateThumbprint [输入上面提示中新证书的指纹码] -NewCertificateEffectiveDate (Get-Date)

例如： Set-AuthConfig -NewCertificateThumbprint 54F25A52AC6AC2902D28A58D89EC3BDA35BDA3C2 -NewCertificateEffectiveDate 3/17/2024

Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

*AuthConfig 的OAuth凭证更新需要将凭证发布至各个服务器，因此，当此凭证曾经在环境中作过更新，则正常情况下，组织中所有的Exchange服务器应该都要有相同ID、相同有效日期的验证证书，才是完整的Auth更新。

3. 重新启动 Microsoft Exchange Service Host 服务
*该服务为应用程序提供主机级部署和管理服务。

4. 重启 IIS 或资源池。
运行以下命令（在提升模式下）以回收 OWA 和 EAC 的应用程序池：
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

*在某些环境中，可能需要一小时才能发布OAuth 凭证并且需要约8-12小时的时间让AuthConfig的设定在各服务器中完全生效。
设置的时候提示48小时生效，实际24小时左右生效。

一定要尽快生效的，请尝试挑战法：
1、修改系统时间到48小时后，再修改回来；
2、重启Exchange主机。


*如果您有混合式设定，则必须重新执行混合式设定向导，以更新Azure Active Directory (Azure AD) 的变更。