Zuweisen von Zertifikaten an Exchange Server-Dienste
Nachdem Sie ein Zertifikat auf einem Exchange-Server installiert haben, müssen Sie das Zertifikat mindestens einem Exchange-Dienst zuweisen, bevor der Exchange-Server das Zertifikat für die Verschlüsselung verwenden kann. Sie können Zertifikate Diensten in der Exchange-Verwaltungskonsole (EAC) oder in Exchange-Verwaltungsshell zuweisen. Nachdem Sie ein Zertifikat einem Dienst zugewiesen haben, können Sie die Zuordnung nicht entfernen. Wenn Sie ein Zertifikat für einen bestimmten Dienst nicht mehr verwenden möchten, müssen Sie dem Dienst ein anderes Zertifikat zuweisen, und dann das Zertifikat entfernen, das Sie nicht verwenden möchten.
Diese verfügbaren Exchange-Dienste werden in der folgenden Tabelle beschrieben.
| Dienst | Verwendung |
|---|---|
| IIS | TLS-Verschlüsselung für interne und externe Clientverbindungen, die HTTP verwenden. Dies umfasst Folgendes: AutoErmittlung Exchange ActiveSync Exchange-Verwaltungskonsole Exchange-Webdienste Offlineadressbuch-Verteilung Outlook Anywhere (RPC über HTTP) Outlook MAPI über HTTP Outlook im Web |
| IMAP | TLS-Verschlüsselung für IMAP4-Clientverbindungen. Weisen Sie dem IMAP4-Dienst kein Platzhalterzertifikat zu. Verwenden Sie stattdessen das Cmdlet Set-ImapSettings zum Konfigurieren des vollqualifizierten Domänennamens, den Clients verwenden, um eine Verbindung zum IMAP4-Dienst herzustellen. |
| POP | TLS-Verschlüsselung für POP3-Clientverbindungen. Weisen Sie dem POP3-Dienst kein Platzhalterzertifikat zu. Verwenden Sie stattdessen das Cmdlet Set-PopSettings zum Konfigurieren des vollqualifizierten Domänennamens, den Clients verwenden, um eine Verbindung zum POP3-Dienst herzustellen. |
| SMTP | TLS-Verschlüsselung für externe SMTP-Client- und Server-Verbindungen. Gegenseitige TLS-Authentifizierung zwischen Exchange und anderen Messaging-Servern. Wenn Sie SMTP ein Zertifikat zuweisen, werden Sie aufgefordert, das selbstsignierte Exchange-Standardzertifikat zu ersetzen, das zum Verschlüsseln der SMTP-Kommunikation zwischen internen Exchange-Servern verwendet wird. Normalerweise müssen Sie das standardmäßige SMTP-Zertifikat nicht ersetzen. |
| Unified Messaging (UM) | TLS-Verschlüsselung für Clientverbindungen mit dem Back-End-UM-Dienst auf Exchange 2016-Postfachservern. Sie können dem UM-Dienst nur ein Zertifikat zuweisen, wenn die UM-Startmodus-Eigenschaft des Diensts auf „TLS“ oder „Dual“ festgelegt ist. Wenn der UM-Startmodus auf den Standardwert TCP festgelegt ist, können Sie das Zertifikat dem UM-Dienst nicht zuweisen. (Hinweis: UM ist in Exchange 2019 nicht verfügbar). Weitere Informationen finden Sie unter Configure the Startup Mode on a Mailbox Server. |
| Unified Messaging-Anrufweiterleitung (UMCallRouter) | TLS-Verschlüsselung für Clientverbindungen mit dem UM-Anrufrouterdienst in den Clientzugriffsdiensten auf Exchange 2016-Postfachservern. Sie können dem UM-Anrufweiterleitungsdienst nur ein Zertifikat zuweisen, wenn die UM-Startmodus-Eigenschaft des Diensts auf „TLS“ oder „Dual“ festgelegt ist. Wenn der UM-Startmodus auf den Standardwert TCP festgelegt ist, können Sie das Zertifikat dem UM-Anrufweiterleitungsdienst nicht zuweisen. (Hinweis: UM ist in Exchange 2019 nicht verfügbar). Weitere Informationen finden Sie unter Configure the Startup Mode on a Client Access Server. |
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.
Nach dem Ausführen der Vorgehensweisen in diesem Thema müssen Sie möglicherweise Internetinformationsdienste (IIS) neu starten. In einigen Szenarien möchte Exchange möglicherweise weiterhin das vorherigen Zertifikat zum Verschlüsseln und Entschlüsseln von Cookies verwenden, das für die Outlook im Web-Authentifizierung (ehemals Outlook Web App) verwendet wurde. Es wird empfohlen, IIS in Umgebungen neu zu starten, die Layer 4-Lastenausgleich verwenden.
Wenn Sie ein Zertifikat verlängern oder ersetzen, das von einer Zertifizierungsstelle auf einem abonnierten Edge-Transport-Server ausgegeben wurde, müssen Sie das alte Zertifikat entfernen und dann das Edge-Abonnement löschen und neu erstellen. Weitere Informationen finden Sie unter Edge-Abonnementprozess.
Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste" im Thema Berechtigungen für Clients und mobile Geräte.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.
Zuweisen eines Zertifikats zu Exchange-Diensten mithilfe der Exchange-Verwaltungskonsole
Öffnen Sie das EAC, und navigieren Sie zuServerzertifikate>.
Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem das Zertifikat gespeichert ist.
Wählen Sie das Zertifikat aus, das Sie konfigurieren möchten, und klicken Sie dann auf
. Das Zertifikat muss den Status-Wert Gültig aufweisen.Wählen Sie auf der Registerkarte Dienste im Abschnitt, in dem Sie die Dienste angeben, die Sie diesem Zertifikat zuweisen möchten, die Dienste aus. Beachten Sie, dass Sie Dienste zwar hinzufügen, aber nicht löschen können. Klicken Sie nach Abschluss des Vorgangs auf Speichern.
Zuweisen eines Zertifikats zu Exchange-Verwaltungsshell-Diensten mithilfe von Exchange
Verwenden Sie die folgende Syntax, um ein Zertifikat Exchange-Diensten zuzuweisen:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
In diesem Beispiel wird das Zertifikat mit dem Fingerabdruckwert 434AC224C8459924B26521298CE8834C514856AB den POP-, IMAP-, IIS- und SMTP-Diensten zugewiesen.
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
Sie können mithilfe des Cmdlets Get-ExchangeCertificate nach dem Fingerabdruckwert des Zertifikats suchen.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eine der folgenden Vorgehensweisen, um sicherzustellen, dass Sie ein Zertifikat erfolgreich einem oder mehreren Exchange-Diensten zugewiesen haben:
Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie das Zertifikat installiert haben. Wählen Sie das Zertifikat aus, und vergewissern Sie sich im Detailbereich, dass die Eigenschaft Zugewiesen zu Diensten die Dienste enthält, die Sie ausgewählt haben.
Führen Sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie das Zertifikat installiert haben, den folgenden Befehl aus, um die Exchange-Dienste für das Zertifikat zu überprüfen:
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services