Erstellen eines neuen selbstsignierten Exchange Server-Zertifikats
Wenn Sie Exchange Server installieren, wird automatisch ein selbstsigniertes Zertifikat, das vom Exchange-Server selbst erstellt und signiert wird, auf dem Server installiert. Sie können jedoch auch zusätzliche selbstsignierte Zertifikate erstellen, die Sie verwenden können.
Sie können selbstsignierte Zertifikate in der Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell erstellen.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.
Selbstsignierte Exchange-Zertifikate eignen sich gut zum Verschlüsseln von Kommunikation zwischen internen Exchange-Servern, aber nicht so gut zum Verschlüsseln von externen Verbindungen, da Clients, Server und Dienste nicht automatisch selbstsignierten Exchange-Zertifikaten vertrauen. Informationen zum Erstellen einer Zertifikatanforderung (auch als Zertifikatsignaturanforderung oder CSR bezeichnet) für eine kommerzielle Zertifizierungsstelle, die automatisch von allen Clients, Servern und Diensten als vertrauenswürdig eingestuft wird, finden Sie unter Erstellen einer Exchange Server-Zertifikatanforderung für eine Zertifizierungsstelle.
Beim Erstellen eines neuen selbstsignierten Zertifikats mithilfe des New-ExchangeCertificate -Cmdlets können das Zertifikat während der Erstellung des Zertifikats Exchange-Diensten zuweisen. Weitere Informationen zu den Exchange-Diensten finden Sie unter Zuweisen von Zertifikaten zu Exchange Server-Diensten.
Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste" im Thema Berechtigungen für Clients und mobile Geräte.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.
Verwenden des EAC zum Erstellen eines neuen selbstsignierten Exchange-Zertifikats
Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.
Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, und klicken Sie dann auf .
Der neue Exchange-Zertifikat-Assistent wird geöffnet. Wählen Sie auf der Seite Dieser Assistent erstellt ein neues Zertifikat oder eine Zertifikatanforderungsdatei die Option Erstellen eines selbstsignierten Zertifikats aus, und klicken Sie dann auf Weiter.
Anmerkung: Informationen zum Erstellen einer neuen Zertifikatanforderung für eine Zertifizierungsstelle finden Sie unter Erstellen einer Exchange Server-Zertifikatanforderung für eine Zertifizierungsstelle.
Geben Sie auf der Seite Anzeigename für dieses Zertifikat einen Anzeigenamen für das Zertifikat ein, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Geben Sie die Server an, auf die Sie dieses Zertifikat anwenden möchten auf
Wählen Sie auf der Seite Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, und klicken Sie auf Hinzufügen - >. Wiederholen Sie diesen Schritt so oft wie nötig. Wenn Sie mit der Auswahl der Server fertig sind, klicken Sie auf OK.
Wenn Sie fertig sind, klicken Sie auf Weiter.
Die Seite Domänen angeben, die in der Zertifikatanforderung enthalten sein sollen ist im Wesentlichen ein Arbeitsblatt, das Sie dabei unterstützt, die internen und externen Hostnamen zu ermitteln, die im Zertifikat für die folgenden Exchange-Dienste erforderlich sind:
Outlook im Web
Offlineadressbuch-Generierung (OAB)
Exchange-Webdienste
Exchange ActiveSync
AutoErmittlung
POP
IMAP
Outlook Anywhere
Wenn Sie einen Wert für jeden Dienst basierend auf dem Speicherort (intern oder extern) eingeben, ermittelt der Assistent die Hostnamen, die im Zertifikat erforderlich sind, und die Informationen werden auf der nächsten Seite angezeigt. Um einen Wert für einen Dienst zu ändern, klicken Sie auf Bearbeiten ( und geben Sie den Hostnamenwert ein, den Sie verwenden möchten (oder löschen Sie den Wert). Wenn Sie fertig sind, klicken Sie auf Weiter.
Wenn Sie bereits die Werte für Hostnamen ermittelt haben, die Sie im Zertifikat benötigen, müssen Sie keine Informationen auf dieser Seite angeben. Klicken Sie stattdessen auf Weiter, um die Hostnamen manuell auf der nächsten Seite eingeben.
Auf der Seite Basierend auf Ihrer Auswahl werden die folgenden Domänen in Ihr Zertifikat eingeschlossen , die Hostnamen aufgelistet, die im selbstsignierten Zertifikat enthalten sein werden. The host name that's used in the certificate's Subject field is bold, which can be hard to see if that host name is selected. You can verify the host name entries that are required in the certificate based on the selections that you made on the previous page. Or, you can ignore the values from the last page and add, edit, or remove host name values.
Wenn Sie ein SAN-Zertifikat anfordern möchten, müssen Sie im Feld Subject einen allgemeinen Namen angeben. Markieren Sie zum Auswählen des Hostnamens für das Subject -Feld des Zertifikats den Wert, und klicken Sie auf Als allgemeinen Namen festlegen (Kontrollkästchen). Der Wert sollte jetzt fett formatiert angezeigt werden.
Wenn Sie ein Zertifikat für einen einzelnen Hostnamen benötigen, wählen Sie die anderen Werte einzeln aus, und klicken Sie auf Entfernen (
Wenn Sie diese Seite abgeschlossen haben, klicken Sie auf Fertig stellen.
Hinweise:
- Sie können den fett formatierten Hostnamen nicht löschen, der für das Subject -Feld des Zertifikats verwendet wird. Sie müssen zunächst einen anderen Hostnamen markieren oder hinzufügen und dann auf Als allgemeinen Namen festlegen klicken (Kontrollkästchen).
- Die auf dieser Seite vorgenommenen Änderungen gehen möglicherweise verloren, wenn Sie auf die Schaltfläche Zurück klicken.
Verwenden des Exchange-Verwaltungsshell zum Erstellen eines neuen selbstsignierten Exchange-Zertifikats
Verwenden Sie zum Erstellen eines neuen selbstsignierten Exchange-Zertifikats die folgende Syntax:
New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]
In diesem Beispiel wird ein selbstsigniertes Zertifikat auf dem lokalen Exchange-Server mit den folgenden Eigenschaften erstellt:
-
Betreff: <ServerName>. Wenn Sie beispielsweise den Befehl auf dem Server mit dem Namen Mailbox01 ausführen, ist
Mailbox01
der Wert . -
Alternative Antragstellernamen: <ServerName>, <Server-FQDN>. Beispiel:
Mailbox01, Mailbox01.contoso.com
. - Anzeigename: Microsoft Exchange
- Dienste: POP, IMAP, SMTP.
New-ExchangeCertificate
In diesem Beispiel wird ein selbstsigniertes Zertifikat auf dem lokalen Exchange-Server mit den folgenden Eigenschaften erstellt:
-
Betreff: Exchange01, für den der Wert
CN=Exchange01
erforderlich ist. Beachten Sie, dass dieser Wert automatisch in den Parameter DomainName (das Feld Alternativer Antragstellername ) eingeschlossen wird. - Zusätzliche alternativer Antragstellernamen:
- mail.contoso.com
- autodiscover.contoso.com
- Exchange01.contoso.com
- Exchange02.contoso.com
- Dienste: SMTP, IIS
- Anzeigename: Contoso Exchange Certificate
- Ein privater Schlüssel ist exportierbar. So können Sie das Zertifikat vom Server exportieren (und auf anderen Servern importieren).
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true
Hinweise:
- Der einzige erforderliche Teil des X.500 SubjectName-Parameterwerts (das Feld Subject des Zertifikats) ist
CN=<HostNameOrFQDN>
. - Einige Services-Parameterwerte generieren Warn- oder Bestätigungsmeldungen. Weitere Informationen finden Sie unter Zuweisen von Zertifikaten zu Exchange Server-Diensten.
- Weitere Informationen finden Sie unter New-ExchangeCertificate.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Führen Sie einen der folgenden Schritte aus, um sicherzustellen, dass Sie ein selbstsigniertes Exchange-Zertifikat erfolgreich erstellt haben:
Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie das selbstsignierte Zertifikat erstellt haben. Das Zertifikat sollte in der Liste der Zertifikate mit dem Status-Wert Gültig aufgeführt sein.
Führen Sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie das selbstsignierte Zertifikat erstellt haben, den folgenden Befehl aus, und überprüfen Sie die Eigenschaften:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter