Exportieren eines Zertifikats von einem Exchange-Server

  • Artikel

Sie können ein Zertifikat von einem Exchange-Server als Sicherung oder zum Importieren des Zertifikats auf andere Clients, Geräte oder Server exportieren. Sie können Zertifikate in der Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell exportieren. Die resultierende Zertifikatsdatei ist eine kennwortgeschützte PKCS #12-Binärdatei, die den privaten Schlüssel des Zertifikats enthält und für den Import (die Installation) auf anderen Servern eignet ist.

Hinweis

Die Zertifikatverwaltungsaufgaben werden für Exchange Server 2016 CU23 und Exchange Server 2019 CU12 aus dem EAC entfernt. Verwenden Sie das Exchange-Verwaltungsshell-Verfahren, um das Zertifikat aus diesen Versionen zu exportieren/zu importieren.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.

  • Im EAC müssen Sie die Zertifikatdatei in einen UNC-Pfad (\\<Server>\<Share>\ oder \\<LocalServerName>\c$\) exportieren. In Exchange-Verwaltungsshell können Sie einen lokalen Pfad angeben.

  • Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste" im Thema Berechtigungen für Clients und mobile Geräte.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.

Exportieren eines Zertifikats mithilfe der Exchange-Verwaltungskonsole

  1. Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.

  2. Wählen Sie in der Liste Server auswählen den Exchange-Server aus, der das Zertifikat enthält, klicken Sie auf Weitere OptionenSymbol weitere Optionen, und wählen Sie Exchange-Zertifikat exportieren aus.

  3. Geben Sie auf der daraufhin geöffneten Seite Exchange-Zertifikat exportieren die folgenden Informationen ein:

    • Zu exportierende Datei: Geben Sie den UNC-Pfad und den Dateinamen der Zertifikatdatei ein. Beispiel: \\FileServer01\Data\Fabrikam.pfx

    • Kennwort: Wenn Sie das Zertifikat mit seinem privaten Schlüssel exportieren, müssen Sie ein Kennwort angeben. Wenn Sie das Zertifikat mit seinem privaten Schlüssel exportieren, können Sie das Zertifikat auf anderen Servern importieren.

    Klicken Sie nach Abschluss des Vorgangs auf OK.

Exportieren eines Zertifikats mithilfe der Exchange-Verwaltungsshell

Verwenden Sie die folgende Syntax, um eine binäre Zertifikatsdatei zu exportieren, die Sie auf anderen Clients oder Servern importieren können:

$cert = Export-ExchangeCertificate -Thumbprint <Thumbprint> -BinaryEncoded -Password (Read-Host "Enter password" -AsSecureString) [-Server <ServerIdentity>]

[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $cert.FileData)

In diesem Beispiel wird ein Zertifikat vom lokalen Exchange-Server in eine Datei mit den folgenden Einstellungen exportiert:

  • Das Zertifikat mit dem Fingerabdruckwert 5113ae0233a72fccb75b1d0198628675333d010e wird in die Datei C:\Data\Fabrikam.pfx auf demselben Server exportiert, auf dem Sie den Befehl ausführen.
  • Die exportierte Zertifikatsdatei wird durch DER (nicht durch Base64) codiert.
  • Sie werden aufgefordert, das Kennwort einzugeben.
$cert = Export-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -BinaryEncoded -Password (Read-Host "Enter password" -AsSecureString)

[System.IO.File]::WriteAllBytes('C:\Data\Fabrikam.pfx', $cert.FileData)

Verwenden Sie die folgende Syntax, um eine ausstehende Zertifikatanforderung (auch als Zertifikatsignaturanforderung oder CSR bezeichnet) zu exportieren:

$txtcert = Export-ExchangeCertificate -Thumbprint <Thumbprint> [-Server <ServerName>]

[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtcert))

In diesem Beispiel wird eine ausstehende Zertifikatanforderung vom lokalen Exchange-Server in eine Datei mit den folgenden Einstellungen exportiert:

  • Das Zertifikat mit dem Fingerabdruckwert 72570529B260E556349F3403F5CF5819D19B3B58 wird in die Datei \\FileServer01\Data\Fabrikam.reqexportiert.
  • Die exportierte Zertifikatdatei ist Base64-codiert.
$txtcert = Export-ExchangeCertificate -Thumbprint 72570529B260E556349F3403F5CF5819D19B3B58

[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Fabrikam.req', [System.Text.Encoding]::Unicode.GetBytes($txtcert))

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Export-ExchangeCertificate.

Hinweise:

  • Sie können eine ausstehende Zertifikatanforderung exportieren, wenn Sie die Zertifikatanforderung erneut an die Zertifizierungsstelle übermitteln müssen und sie die ursprüngliche Zertifikatanforderungsdatei nicht finden können.
  • Wenn Sie eine Zertifikatsanforderung exportieren, müssen Sie normalerweise nicht den Password-Parameter oder den BinaryEncoded-Switch verwenden, und Sie speichern die Anforderung in einer .req-Datei.
  • Sie können eine exportierte ausstehende Zertifikatanforderung nicht auf einem anderen Server importieren.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Um sicherzustellen, dass Sie ein Zertifikat erfolgreich von einem Exchange-Server exportiert haben, versuchen Sie, die Zertifikatsdatei auf einem anderen Server zu importieren. Weitere Informationen finden Sie unter Importieren oder Installieren eines Zertifikats auf einem Exchange-Server.