Abschließen einer ausstehenden Exchange Server Zertifikatanforderung
Das Abschließen einer ausstehenden Zertifikatanforderung (auch als Zertifikatsignieranforderung oder CSR bezeichnet) ist der nächste Schritt beim Konfigurieren der TLS-Verschlüsselung (Transport Layer Security) in Exchange Server. Nachdem Sie das Zertifikat von einer Zertifizierungsstelle erhalten haben, müssen Sie das Zertifikat auf dem Exchange-Server installieren, um die ausstehende Zertifikatanforderung abzuschließen.
Sie können eine ausstehende Zertifikatanforderung im Exchange Admin Center (EAC) oder in der Exchange-Verwaltungsshell ausführen. Die Vorgehensweise ist dieselbe wie beim Abschließen neuer Zertifikatanforderungen oder Zertifikaterneuerungsanforderungen. Die Verfahren sind auch für Zertifikate identisch, die von einer internen Zertifizierungsstelle (z. B. Active Directory-Zertifikatdiensten) oder einer kommerziellen Zertifizierungsstelle ausgestellt wurden.
Sie können einen oder mehrere der folgenden Zertifikatsdateitypen von der Zertifizierungsstelle erhalten:
PKCS #12-Zertifikatdateien: Hierbei handelt es sich um binäre Zertifikatdateien, die die Dateinamenerweiterungen .cer, CRT, .der, .p12 oder PFX aufweisen und ein Kennwort erfordern, wenn die Datei den privaten Schlüssel oder die Vertrauenskette enthält. Die Zertifizierungsstelle gibt möglicherweise nur eine binäre Zertifikatdatei aus, die Sie installieren müssen (geschützt durch ein Kennwort), oder mehrere Stamm- oder Zwischenzertifikatdateien, die Sie ebenfalls installieren müssen.
PKCS #7-Zertifikatdateien: Hierbei handelt es sich um Textzertifikatdateien mit den Dateinamenerweiterungen .p7b oder .p7c. Diese Dateien enthalten den Text und
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
oder-----BEGIN PKCS7-----
und-----END PKCS7-----
. Wenn die Zertifizierungsstelle eine Zertifikatskettendatei mit der binären Zertifikatsdatei bereitstellt, müssen Sie diese auch installieren.
Hinweis
Die Zertifikatverwaltungsaufgaben werden für Exchange Server 2016 CU23 und Exchange Server 2019 CU12 aus dem EAC entfernt. Verwenden Sie das Exchange-Verwaltungsshell-Verfahren, um das Zertifikat aus diesen Versionen zu exportieren/zu importieren.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.
Für die Vorgehensweise in diesem Thema muss eine neue Zertifikatanforderung auf dem Exchange-Server erstellt, die Zertifikatanforderung an die Zertifizierungsstelle gesendet und das Zertifikat von der Zertifizierungsstelle empfangen sein. Weitere Informationen finden Sie unter Create einer Exchange Server-Zertifikatanforderung für eine Zertifizierungsstelle.
Im EAC müssen Sie die Zertifikatdatei aus einem UNC-Pfad (
\\<Server>\<Share>
oder\\<LocalServerName>\c$\
) abrufen. In der Exchange-Verwaltungsshell, können Sie einen lokalen Dateipfad verwenden.Wenn Sie ein Zertifikat verlängert oder ersetzen, das von einer Zertifizierungsstelle auf einem abonnierten Edge-Transport-Server ausgegeben wurde, müssen Sie das alte Zertifikat entfernen und dann das Edge-Abonnement löschen und neu erstellen. Weitere Informationen finden Sie unter Edge-Abonnementprozess.
Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste" im Thema Berechtigungen für Clients und mobile Geräte.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.
Verwenden des EAC zum Abschließen einer ausstehenden Zertifikatanforderung
Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.
Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem die ausstehende Zertifikatanforderung gespeichert ist.
Eine ausstehende Zertifikatanforderung weist die folgenden Eigenschaften auf:
In der Liste der Zertifikate lautet der Wert der im Feld StatusAusstehende Anforderung.
Wenn Sie die Zertifikatanforderung in der Liste wählen, wird im Detailbereich der Link zum Abschließen angezeigt.
Wählen Sie die ausstehende Anforderung, die Sie abschließen möchten, und klicken Sie dann im Detailbereich auf Abschließen.
Geben Sie auf der Seite Ausstehende Anforderung abschließen im Feld Datei, aus der importiert wird den UNC-Pfad und Dateinamen für die Zertifikatsdatei ein. Beispiel:
\\FileServer01\Data\ContosoCert.cer
. Klicken Sie nach Abschluss des Vorgangs auf OK.
Die Zertifikatanforderung wird in der Liste der Exchange-Zertifikate zum Zertifikat mit dem Statuswert Gültig angezeigt. Informationen zu nächsten Schritten finden Sie im Abschnitt Nächste Schritte.
Verwenden der Exchange-Verwaltungsshell zum Abschließen einer ausstehenden Zertifikatanforderung
Verwenden Sie die folgende Syntax, um eine ausstehende Zertifikatanforderung abzuschließen:
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]
Sie verwenden diese Syntax mit den folgenden Arten von Zertifikatdateien:
- Binäre Zertifikatdateien (PKCS #12-Dateien mit den Dateinamenerweiterungen .cer, CRT, DER, P12 oder PFX).
- Kette von Zertifikatdateien (PKCS #7-Textdateien mit den Dateinamenerweiterungen .p7b oder .p7c).
In diesem Beispiel wird die Binärzertifikatdatei \\FileServer01\Data\Contoso Cert.cer
importiert, die auf dem lokalen Exchange-Server geschützt ist. Sie werden aufgefordert, das Kennwort einzugeben.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)
In diesem Beispiel wird die Textzertifikatdatei \\FileServer01\Data\Chain of Certificates.p7b
auf dem lokalen Exchange-Server importiert.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))
Hinweise:
- Der Parameter FileData akzeptiert lokale Pfade, wenn sich die Zertifikatdatei auf dem Exchange-Server befindet, auf dem Sie den Befehl ausführen, und dies ist derselbe Server, auf dem Sie das Zertifikat importieren möchten. Verwenden Sie andernfalls einen UNC-Pfad.
- Wenn Sie das Zertifikat von dem Server exportieren möchten, auf dem Sie es importieren, müssen Sie den Parameter PrivateKeyExportable mit dem Wert
$true
verwenden. - Weitere Informationen finden Sie unter Import-ExchangeCertificate.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eine der folgenden Vorgehensweisen, um sicherzustellen, dass die Zertifikatanforderung erfolgreich abgeschlossen und das Zertifikat auf dem Exchange-Server erfolgreich installiert wurde:
Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie das Zertifikat installiert haben. Stellen Sie in der Liste der Zertifikate sicher, dass der Status-Eigenschaftswert für das Zertifikat Gültig lautet.
Führen Sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie das Zertifikat installiert haben, den folgenden Befehl aus, und vergewissern Sie sich, dass das Zertifikat aufgeführt wird:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
Nächste Schritte
Nachdem Sie die ausstehende Zertifikatanforderung durch Installation des Zertifikats auf dem Server abgeschlossen haben, müssen Sie einem oder mehreren Exchange-Diensten das Zertifikat zuweisen, damit der Exchange-Server das Zertifikat für die Verschlüsselung verwenden kann. Weitere Informationen finden Sie unter Zuweisen von Zertifikaten zu Exchange-Diensten.