Import or install a certificate on an Exchange server
Zum Aktivieren der Verschlüsselung für einen oder mehrere Exchange-Dienste, muss der Exchange-Server ein Zertifikat verwenden. SMTP-Kommunikation zwischen internen Exchange-Servern wird durch das standardmäßige selbstsignierte Zertifikat verschlüsselt, das auf dem Exchange-Server installiert ist. Zum Verschlüsseln der Kommunikation mit internen oder externen Clients, Servern oder Diensten möchten Sie wahrscheinlich ein Zertifikat verwenden, das automatisch von allen Clients, Diensten und Servern, die mit Ihrer Exchange-Organisation eine Verbindung herstellen, als vertrauenswürdig eingestuft wird. Weitere Informationen finden Sie unter Zertifikatanforderungen für Exchange-Dienste.
Sie können Zertifikate auf Exchange-Servern in der Exchange-Verwaltungskonsole (EAC) oder in Exchange-Verwaltungsshell importieren (installieren).
Dies sind die Typen von Zertifikatsdateien, die Sie auf einem Exchange-Server importieren können:
PKCS #12-Zertifikatdateien: Hierbei handelt es sich um binäre Zertifikatdateien, die die Dateinamenerweiterungen .cer, CRT, .der, .p12 oder PFX aufweisen und ein Kennwort erfordern, wenn die Datei den privaten Schlüssel oder die Vertrauenskette enthält. Beispiele für diese Dateitypen sind:
Selbstsignierte Zertifikate, die von anderen Exchange-Servern mithilfe des EAC oder export-ExchangeCertificate mit dem Parameterwert
$true
PrivateKeyExportable exportiert wurden. Weitere Informationen finden Sie unter Exportieren eines Zertifikats von einem Exchange-Server.Zertifikate, die von einer Zertifizierungsstelle (einer internen Zertifizierungsstelle wie Active Directory-Zertifikatsdienste oder einer gewerblichen Zertifizierungsstelle) ausgestellt wurden.
Zertifikate, die von anderen Servern exportiert wurden (z. B. Skype for Business Server).
PKCS #7-Zertifikatdateien: Hierbei handelt es sich um Textzertifikatdateien mit den Dateinamenerweiterungen .p7b oder .p7c. Diese Dateien enthalten den Text und
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
oder-----BEGIN PKCS7-----
und-----END PKCS7-----
. Eine Zertifizierungsstelle kann eine Zertifikatskettendatei enthalten, die zusammen mit der eigentlichen binären Zertifikatsdatei installiert werden muss.
Hinweis
Die Zertifikatverwaltungsaufgaben werden aus dem EAC für Exchange Server 2016 CU23 und Exchange Server 2019 CU12 entfernt. Verwenden Sie das Exchange-Verwaltungsshell-Verfahren, um das Zertifikat aus diesen Versionen zu exportieren/zu importieren.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.
Im EAC müssen Sie die Zertifikatdatei aus einem UNC-Pfad (
\\<Server>\<Share>\
oder\\<LocalServerName>\c$\
) importieren. In der Exchange-Verwaltungsshell können Sie einen lokalen Pfad angeben.Sie können in der Exchange-Verwaltungskonsole die Zertifikatsdatei auf mehreren Exchange-Servern gleichzeitig importieren (Schritt 4 im Verfahren).
Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste" im Thema Berechtigungen für Clients und mobile Geräte.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.
Importieren eines Zertifikats auf einem oder mehreren Exchange-Servern mithilfe der Exchange-Verwaltungskonsole
Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.
Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, klicken Sie auf Weitere Optionen, und wählen Sie Exchange-Zertifikat importieren aus.
Der Assistent Exchange-Zertifikat importieren wird geöffnet. Geben Sie auf der Seite Dieser Assistent importiert ein Zertifikat aus einer Datei die folgenden Informationen ein:
Datei, aus der importiert werden soll: Geben Sie den UNC-Pfad und dateinamen der Zertifikatdatei ein. Beispiel:
\\FileServer01\Data\Fabrikam.cer
Kennwort: Wenn die Zertifikatdatei den privaten Schlüssel oder die Vertrauenskette enthält, wird die Datei durch ein Kennwort geschützt. Geben Sie hier das Kennwort ein.
Wenn Sie fertig sind, klicken Sie auf Weiter.
Klicken Sie auf der Seite Geben Sie die Server an, auf die Sie dieses Zertifikat anwenden möchten auf
Wählen Sie auf der Seite Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, und klicken Sie auf Hinzufügen - >. Wiederholen Sie diesen Schritt so oft wie nötig. Wenn Sie mit der Auswahl der Server fertig sind, klicken Sie auf OK.
Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen. Informationen zu nächsten Schritten finden Sie im Abschnitt Nächste Schritte.
Importieren eines Zertifikats auf einem Exchange-Server mithilfe der Exchange-Verwaltungsshell
Verwenden Sie die folgende Syntax, um eine Zertifikatdatei zu importieren:
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]
Sie verwenden diese Syntax mit den folgenden Arten von Zertifikatdateien:
- Binäre Zertifikatdateien (PKCS #12-Dateien mit den Dateinamenerweiterungen .cer, CRT, DER, P12 oder PFX).
- Kette von Zertifikatdateien (PKCS #7-Textdateien mit den Dateinamenerweiterungen .p7b oder .p7c).
In diesem Beispiel wird die Zertifikatdatei \\FileServer01\Data\Fabrikam.pfx
importiert, die durch das Kennwort P@ssw0rd1 auf dem lokalen Exchange-Server geschützt ist. Sie werden aufgefordert, das Kennwort einzugeben.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)
In diesem Beispiel wird die Kette der Zertifikatdatei \\FileServer01\Data\Chain of Certificates.p7b
importiert.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Import-ExchangeCertificate.
Hinweise:
- Sie müssen dieses Verfahren auf jedem Exchange-Server wiederholen, auf dem Sie das Zertifikat importieren möchten (führen Sie den Befehl auf dem Server aus, oder verwenden Sie den Server-Parameter ).
- Der Parameter FileData akzeptiert lokale Pfade, wenn sich die Zertifikatdatei auf dem Exchange-Server befindet, auf dem Sie den Befehl ausführen, und dies ist derselbe Server, auf dem Sie das Zertifikat importieren möchten. Verwenden Sie andernfalls einen UNC-Pfad.
- Wenn Sie das Zertifikat von dem Server exportieren möchten, auf dem Sie es importieren, müssen Sie den Parameter PrivateKeyExportable mit dem Wert
$true
verwenden.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eine der folgenden Vorgehensweisen, um sicherzustellen, dass Sie ein Zertifikat erfolgreich auf einem Exchange-Server importiert (installiert) haben:
Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie das Zertifikat installiert haben. Das Zertifikat sollte in der Liste der Zertifikate mit dem Status-Wert Gültig aufgeführt sein.
Führen sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie das Zertifikat gespeichert haben, den folgenden Befehl aus:
Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
Nächste Schritte
Nachdem Sie das Zertifikat auf dem Server installiert haben, müssen Sie einem oder mehreren Exchange-Diensten das Zertifikat zuweisen, damit der Exchange-Server das Zertifikat für die Verschlüsselung verwenden kann. Weitere Informationen finden Sie unter Zuweisen von Zertifikaten zu Exchange Server-Diensten.