Erneuern des Verbundzertifikats
In diesem Artikel wird erläutert, wie Sie das selbstsignierte Verbundzertifikat aktualisieren können, das in einer Verbundvertrauensstellung verwendet wird:
Wenn das Verbundzertifikat noch nicht abgelaufen ist: Führen Sie die Schritte im Abschnitt Aktualisieren eines funktionierenden Verbundzertifikats durch.
Wenn das Verbundzertifikat bereits abgelaufen ist: Führen Sie die Schritte im Abschnitt Ersetzen eines abgelaufenen Verbundzertifikats durch.
Hinweis
Nach der Erneuerung des Zertifikats kann das abgelaufene Zertifikat, das der Verbundvertrauensstellung zugeordnet ist, standardmäßig nicht aus dem Verbundvertrauensobjekt entfernt werden.
Weitere Informationen zu Verbundvertrauensstellungen sowie zum Thema Verbund finden Sie unter Verbund.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 10 Minuten.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Abschnitt „Verbund- und Zertifikatberechtigungen" im Artikel Exchange- und Shellinfrastrukturberechtigungen.
In den in diesem Artikel beschriebenen Verfahren wird die Exchange-Verwaltungsshell verwendet. Wie eine Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation geöffnet wird, erfahren Sie unter Open the Shell.
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um herauszufinden, ob Ihr aktuelles Verbundzertifikat abgelaufen ist:
Get-ExchangeCertificate -Thumbprint (Get-FederationTrust).OrgCertificate.Thumbprint | Format-Table -Auto Thumbprint,NotAfter
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Warnung
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.
Aktualisieren eines funktionierenden Verbundzertifikats
Wenn das Verbundzertifikat noch nicht abgelaufen ist, können Sie die vorhandene Verbundvertrauensstellung mit einem neuen Verbundzertifikat aktualisieren.
Schritt 1: Erstellen eines neuen Verbundzertifikats
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um ein neues Verbundzertifikat zu erstellen:
$SKI = [System.Guid]::NewGuid().ToString("N"); New-ExchangeCertificate -DomainName 'Federation' -FriendlyName "Exchange Delegation Federation" -Services Federation -SubjectKeyIdentifier $SKI -PrivateKeyExportable $true
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ExchangeCertificate.
Die Ausgabe des Befehls enthält den Fingerabdruckwert des neuen Zertifikats. Sie benötigen diesen Wert in den übrigen Schritten und können ihn direkt aus dem Fenster der Exchange-Verwaltungsshell kopieren:
Klicken Sie an einer beliebigen Stelle im Fenster der Exchange-Verwaltungsshell mit der rechten Maustaste, und wählen Sie im dann angezeigten Dialogfeld Markieren aus.
Wählen Sie den Fingerabdruckwert aus, und drücken Sie die EINGABETASTE.
Für die anderen Verfahren in diesem Thema verwenden wir den Fingerabdruckwert des Verbundzertifikats: 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73
. Der Fingerabdruckwert Ihres Zertifikats wird ein anderer sein.
Schritt 2: Konfigurieren des neuen Zertifikats als Verbundzertifikat
Verwenden Sie die folgende Syntax, um das neue Zertifikat mithilfe der Exchange-Verwaltungsshell als Verbundzertifikat zu konfigurieren:
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint <Thumbprint> -RefreshMetaData
In diesem Beispiel wird der Zertifikatfingerabdruckwert 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73
aus Schritt 1 verwendet.
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 -RefreshMetaData
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-FederationTrust.
Hinweis: Die Befehlsausgabe enthält eine Warnung, dass Sie den TXT-Eintrag zum Nachweis des Domänenbesitzes im DNS aktualisieren müssen. Das erledigen Sie im nächsten Schritt.
Schritt 3: Aktualisieren des als Nachweis des Domänenbesitzes im externen DNS hinterlegten Verbund-TXT-Eintrags
Sie können diesen Schritt jetzt sicher ausführen, da der TXT-Eintrag zum Nachweis des Domänenbesitzes nur während der Aktivierung (Schritt 5) überprüft wird. Nach dem Aktualisieren des TXT-Eintrags und bevor Sie mit dem nächsten Schritt fortfahren, müssen Sie jedoch Zeit für die Weitergabe des aktualisierten TXT-Eintrags ein lassen (basierend auf der Gültigkeitsdauer oder dem TTL-Wert des DNS-Eintrags).
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die erforderlichen Werte des erforderlichen TXT-Eintrags abzurufen:
Get-FederatedDomainProof -DomainName <Domain> | Format-List Thumbprint,Proof
Ist Ihre Verbunddomäne „contoso.com", würden Sie beispielsweise den folgenden Befehl ausführen:
Get-FederatedDomainProof -DomainName contoso.com | Format-List Thumbprint,Proof
Die Ausgabe des Befehls sieht wie folgt aus:
Thumbprint : <new certificate thumbprint> (for example, 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73) Proof : <new hash text> (for example, znMfbkgSbOQSsWFdsW+gm3to0nZSdE3zbcPPHGVAqdgsLFGsCPuLHiyVbKoPmgyZKX90NH2g1PbCZH0YTQF6oA==) Thumbprint : <old certificate thumbprint> (for example, CC9BC204BB4DC60D06FC1F10F3C373DC785DA2A5) Proof : <old hash text> (for example, m4gZX7OLr9iOWYJMVjEklQpoSkPb5hSbcFjD7Q3/vsqmdJ2Z+HcSt7j5pzBKFmEW2s27JYr3xsK2POzAI/8Ffw==)
Beachten Sie, dass die Ausgabe des Befehls Informationen zu zwei als Nachweis des Domänenbesitzes dienenden Einträgen zurückgibt: einem Eintrag für das neue Zertifikat und einem Eintrag für das aktuelle Zertifikat, das ersetzt werden soll. Sie können die beiden Einträge anhand des Fingerabdruckwerts und des Hashtextwerts unterscheiden, der im TXT-Eintrag konfiguriert ist, der aktuell als Nachweis des Domänenbesitzes im externen (öffentlichen) DNS hinterlegt ist.
Aktualisieren Sie den als Nachweis des Domänenbesitzes in Ihrem externen DNS hinterlegten Verbund-TXT-Eintrag. Wie das geht, variiert je nach DNS-Anbieter, Sie können jedoch den aktuellen Hashtextwert im aktuellen TXT-Eintrag durch den neuen Hashtextwert ersetzen. Weitere Informationen finden Sie im Abschnitt zu Exchange Online im Artikel Externe DNS-Einträge für Office 365.
Schritt 4: Überprüfen der erfolgreichen Verteilung des Verbundzertifikats an alle Exchange-Server
Exchange verteilt das neue Verbundzertifikat automatisch an alle Server. Sie müssen aber dennoch überprüfen, ob die Verteilung erfolgreich war, bevor Sie fortfahren.
Führen Sie den folgenden Befehl aus, um mithilfe der Exchange-Verwaltungsshell zu überprüfen, ob das neue Verbundzertifikat verteilt wurde:
$Servers = Get-ExchangeServer; $Servers | foreach {Get-ExchangeCertificate -Server $_ | Where {$_.Services -match 'Federation'}} | Format-List Identity,Thumbprint,Services,Subject
Hinweis: In Exchange 2010 enthält die Ausgabe des Cmdlets Test-FederationCertificate Servernamen. In Exchange 2013 oder höher enthält die Ausgabe des Cmdlets keine Servernamen.
Schritt 5: Aktivieren des neuen Verbundzertifikats
Führen Sie den folgenden Befehl aus, um das neue Verbundzertifikat mithilfe der Exchange-Verwaltungsshell zu aktivieren:
Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-FederationTrust.
Hinweis: Die Befehlsausgabe enthält eine Warnung, dass Sie den TXT-Eintrag für den Domänenbesitznachweis in DNS aktualisieren müssen (was Sie bereits in Schritt 3 ausgeführt haben).
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Gehen Sie wie folgt vor, um zu überprüfen, ob die vorhandene Verbundvertrauensstellung erfolgreich mit einem neuen Verbundzertifikat aktualisiert wurde:
Führen Sie in der Exchange-Verwaltungsshell den folgenden Befehl aus, um zu überprüfen, ob das neue Zertifikat verwendet wird:
Get-FederationTrust | Format-List *priv*
Die Eigenschaft OrgPrivCertificate sollte den Fingerabdruck des neuen Verbundzertifikats enthalten.
Die Eigenschaft OrgPrevPrivCertificate sollte den Fingerabdruck des alten (ersetzten) Verbundzertifikats enthalten.
Ersetzen Sie in der Exchange-Verwaltungsshell die E-Mail-Adresse> des Benutzers durch die E-Mail-Adresse eines Benutzers in Ihrer Organisation, und führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Verbundvertrauensstellung funktioniert:<
Test-FederationTrust -UserIdentity <user's email address>
Ersetzen eines abgelaufenen Verbundzertifikats
Wenn das Verbundzertifikat bereits abgelaufen ist, müssen Sie zunächst alle Verbunddomänen aus der Verbundvertrauensstellung entfernen und anschließend die Verbundvertrauensstellung entfernen und neu erstellen.
Wenn Sie mehrere Verbunddomänen haben, müssen Sie die primäre freigegebenen Domäne identifizieren; sie muss zuletzt entfernt werden. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die primäre freigegebene Domäne und alle Verbunddomänen zu identifizieren:
Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,Domains
Der Wert der AccountNamespace-Eigenschaft enthält die primäre freigegebene Domäne im Format
FYDIBOHF25SPDLT<primary shared domain>
. Im WertFYDIBOHF25SPDLT.contoso.com
ist beispielsweise contoso.com die primäre freigegebene Domäne.Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um alle Verbunddomänen außer der primären freigegebenen Domäne zu entfernen:
Remove-FederatedDomain -DomainName <domain> -Force
Sobald Sie alle übrigen Verbunddomänen entfernt haben, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die primäre freigegebene Domäne zu entfernen:
Remove-FederatedDomain -DomainName <domain> -Force
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die Verbundvertrauensstellung zu entfernen:
Remove-FederationTrust "Microsoft Federation Gateway"
Erstellen Sie die Verbundvertrauensstellung neu. Anweisungen finden Sie unter Konfigurieren einer Verbundvertrauensstellung.