Verwalten des Exchange Server OAuth-Zertifikats
Allgemeine Informationen
In dieser Dokumentation werden die erforderlichen Schritte zum Rotieren des Exchange Server Authentifizierungszertifikats ohne Unterbrechung des Exchange-Diensts und vor Ablauf des aktuellen Diensts beschrieben.
Tipp
Sie können auch das Skript MonitorExchangeAuthCertificate verwenden. Es führt die erforderlichen Schritte aus, um das OAuth-Zertifikat automatisch zu rotieren. Es kann Ihnen auch helfen, das OAuth-Zertifikat zu ersetzen, wenn es bereits abgelaufen ist.
Die Authentifizierungskonfiguration und das Authentifizierungszertifikat werden vom Microsoft Exchange-Server verwendet, um die Server-zu-Server-Authentifizierung mithilfe des OAuth-Protokollstandards (Open Authorization) zu aktivieren. Weitere Informationen hierzu finden Sie im folgenden Artikel: Planen der Exchange-Integration mit SharePoint und Skype for Business
Das Authentifizierungszertifikat wird auch von mehreren Exchange Server Sicherheitsfeatures verwendet.
Während der Installation des ersten Exchange-Servers generiert die Setuproutine ein selbstsigniertes Zertifikat mit dem Anzeigenamen Microsoft Exchange Server Auth Certificate, das dann einer neuen Authentifizierungskonfiguration hinzugefügt wird. Dieses Zertifikat wird automatisch auf alle Front-End-Server im Exchange-organization repliziert. Exchange Certificate Servicelet führt die Replikation durch, die Teil des MSExchangeServiceHost Prozesses ist. Wenn Sie Ihrem Exchange-organization weitere Server hinzufügen, kümmert sich das Servicelet um die Replikation des Zertifikats auf alle Exchange-Server, die dem organization hinzugefügt wurden.
Das Zertifikat, das als aktuelles Authentifizierungszertifikat konfiguriert ist, kann abgefragt werden, indem die folgende PowerShell-Abfrage (muss in der Exchange-Verwaltungsshell ausgeführt werden) ausgeführt werden:
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore
Wenn der Aufruf mit der folgenden Warnung fehlschlägt, bedeutet dies, dass das aktuelle Authentifizierungszertifikat auf dem Server fehlt.
A special Rpc error occurs on server <Servername>: The certificate with thumbprint <AuthCertificateThumbprint> was not found.
Befolgen Sie die Anweisungen im Abschnitt "Welche Schritte müssen ausgeführt werden, wenn das aktuelle Zertifikat bereits abgelaufen ist oder fehlt?", um die Korrektur zu beheben.
Das Zertifikat, das als nächstes Authentifizierungszertifikat konfiguriert ist, kann wie folgt abgefragt werden:
(Get-AuthConfig).NextCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore
Wenn der Aufruf mit der gleichen Warnung wie für das aktuelle Authentifizierungszertifikat fehlschlägt, bedeutet dies, dass das nächste Authentifizierungszertifikat nicht konfiguriert ist oder auf dem Server fehlt.
Befolgen Sie die Anweisungen unter "Rotieren des Exchange Server Authentifizierungszertifikats", wenn das aktuelle Authentifizierungszertifikat bald abläuft.
Welche Schritte müssen ausgeführt werden, wenn das aktuelle Zertifikat bereits abgelaufen ist oder fehlt?
In diesem Fall muss das alte Authentifizierungszertifikat sofort durch ein neues ersetzt werden. Befolgen Sie die Anweisungen im Abschnitt mit den Lösungen des folgenden Supportartikels: Anmeldung bei Outlook im Web oder EAC nicht möglich, wenn Exchange Server OAuth-Zertifikat abgelaufen ist.
Rotieren des Exchange Server-Authentifizierungszertifikats
Es ist wichtig, das aktive Authentifizierungszertifikat durch ein neues zu ersetzen, bevor es abläuft. Dadurch wird ein reibungsloser Übergang zu einem neuen Zertifikat sichergestellt, ohne den Exchange-Dienst zu unterbrechen. Sie können die folgenden Schritte ausführen, um ein neues Authentifizierungszertifikat vorzubereiten und zu stagen.
Wichtig
Stellen Sie sicher, dass Sie das neueste Exchange Server Kumulatives Update (CU) installiert haben, da es Korrekturen enthält, die sich auf das entsprechende Exchange-Feature auswirken.
Generieren Sie ein neues Authentifizierungszertifikat, indem Sie den folgenden Befehl ausführen:
$newAuthCertificate = New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()Überschreiben Sie das vorhandene SMTP-Standardzertifikat nicht (geben Sie "N" ein, und drücken Sie die EINGABETASTE):
Confirm Overwrite the existing default SMTP certificate? Current certificate: '<DefaultSMTPCertificateThumbprint>' (expires 12/30/2027 2:39:08 PM) Replace it with certificate: '<NewCertificateThumbprint>' (expires 1/5/2028 9:04:48 AM) [Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"): NKonfigurieren Sie das Authentifizierungszertifikat so, dass es frühestens in 49 Stunden das neue aktive Zertifikat wird:
Set-AuthConfig -NewCertificateThumbprint $newAuthCertificate.Thumbprint -NewCertificateEffectiveDate (Get-Date).AddHours(49)
Hinweis
Je nach Größe Ihrer Exchange-organization kann es einige Zeit dauern, bis das neue Authentifizierungszertifikat auf allen Exchange-Servern bereitgestellt wird. Es wird empfohlen, mindestens 48 Stunden zu planen, bevor das neu generierte Authentifizierungszertifikat aktiv wird.
Das Exchange AuthAdmin-Servicelet, das ebenfalls Teil des MSExchangeServiceHost Prozesses ist, ist für den endgültigen Veröffentlichungsprozess des Authentifizierungszertifikats verantwortlich. Das Servicelet wird sofort ausgeführt, wenn der MSExchangeServiceHost Dienst neu gestartet wird. Danach wird es alle 12 Stunden ausgeführt, und wenn erkannt wird, dass erreicht NewCertificateEffectiveDate ist, wird das neue Authentifizierungszertifikat veröffentlicht, um es zum neuen aktiven Zertifikat zu machen.
Sie können die letzte Laufzeit des AuthAdmin-Servicelets abfragen, indem Sie die folgenden PowerShell-Cmdlets ausführen:
[xml]$xml = Get-ExchangeDiagnosticInfo -Process "Microsoft.Exchange.ServiceHost"
$xml.Diagnostics.Components.AnchorApplication.AnchorServiceComponents.CacheScheduler.lastRunTime
Jede Ausführung des AuthAdmin-Servicelets wird im folgenden Verzeichnis protokolliert: <ExchangeInstallPath>\Logging\AuthAdminLogs
Das Servicelet generiert einen neuen Ereignisprotokolleintrag, wenn die Rotation des Authentifizierungszertifikats erfolgreich abgeschlossen wurde:
Log Name: Application
Source: MSExchange AuthAdmin
Date: 12/29/2022 5:56:13 AM
Event ID: 2014
Task Category: General
Level: Information
Keywords: Classic
User: N/A
Description: The current signing certificate for Exchange has been updated to certificate with thumbprint <NewExchangeCertificateThumbprint>.
Hinweis
Um sicherzustellen, dass das AuthAdmin-Servicelet gestartet werden kann, müssen Sie AuthAdminReadSession aktivieren, wenn Ihre Exchange-Server in einer untergeordneten Domäne installiert sind und sich das Systempostfach in der Stammdomäne befindet. Andernfalls kann das AuthAdmin-Servicelet nicht gestartet werden.
Set-OrganizationConfig -EnableAuthAdminReadSession:$true
Häufig gestellte Fragen
Frage: Muss der Hybridkonfigurations-Assistent (HCW) erneut ausgeführt werden, nachdem das Authentifizierungszertifikat ersetzt wurde?
Antwort: Ja, es wird dringend empfohlen, den Hybridkonfigurations-Assistenten (HCW) auszuführen, nachdem das aktive Authentifizierungszertifikat ersetzt wurde.
Frage: Wie gehe ich vor, wenn das neue Authentifizierungszertifikat auf einem Exchange-Server an einem anderen Active Directory-Standort (AD) fehlt?
Antwort: Sie können das Zertifikat mithilfe des Cmdlets Export-ExchangeCertificate exportieren und es über Import-ExchangeCertificate auf einem Server am anderen AD-Standort importieren. Das Zertifikat-Servicelet übernimmt die Replikation auf die verbleibenden Exchange-Server, die sich am AD-Standort befinden.