New-ExchangeCertificate

Dieses Cmdlet ist nur lokal in Exchange verfügbar.

Verwenden Sie das Cmdlet New-ExchangeCertificate zum Erstellen und Erneuern von selbstsignierten Zertifikaten und zum Erstellen von Zertifikatsanforderungen (werden auch als Zertifikatsignieranforderungen (Certificate Signing Requests, CSRs) bezeichnet) für neue Zertifikate und Zertifikatserneuerungen von einer Zertifizierungsstelle.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

New-ExchangeCertificate
   [-BinaryEncoded]
   [-GenerateRequest]
   [-RequestFile <String>]
   [-Confirm]
   [-DomainController <Fqdn>]
   [-DomainName <MultiValuedProperty>]
   [-Force]
   [-FriendlyName <String>]
   [-IncludeAcceptedDomains]
   [-IncludeAutoDiscover]
   [-IncludeServerFQDN]
   [-IncludeServerNetBIOSName]
   [-Instance <X509Certificate2>]
   [-KeySize <Int32>]
   [-PrivateKeyExportable <Boolean>]
   [-Server <ServerIdParameter>]
   [-SubjectKeyIdentifier <String>]
   [-SubjectName <X500DistinguishedName>]
   [-WhatIf]
   [<CommonParameters>]
New-ExchangeCertificate
   [-Services <AllowedServices>]
   [-Confirm]
   [-DomainController <Fqdn>]
   [-DomainName <MultiValuedProperty>]
   [-Force]
   [-FriendlyName <String>]
   [-IncludeAcceptedDomains]
   [-IncludeAutoDiscover]
   [-IncludeServerFQDN]
   [-IncludeServerNetBIOSName]
   [-Instance <X509Certificate2>]
   [-KeySize <Int32>]
   [-PrivateKeyExportable <Boolean>]
   [-Server <ServerIdParameter>]
   [-SubjectKeyIdentifier <String>]
   [-SubjectName <X500DistinguishedName>]
   [-WhatIf]
   [<CommonParameters>]

Beschreibung

Exchange verwendet Zertifikate für die SSL- und TLS-Verschlüsselung.

Bei der Konfiguration von Zertifikaten für TLS- (Transport Layer Security) und SSL-Dienste (Secure Sockets Layer) sind eine Reihe von Faktoren zu beachten. Sie müssen wissen, welche Auswirkungen diese Faktoren auf Ihre Gesamtkonfiguration haben. Weitere Informationen finden Sie unter Digitale Zertifikate und Verschlüsselung in Exchange Server.

Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Sie sind so eng miteinander verbunden, dass die Begriffe "SSL" und "TLS" (ohne Versionen) häufig synonym verwendet werden. Aufgrund dieser Ähnlichkeit wurden Verweise auf "SSL" in Exchange-Themen, dem Exchange Admin Center und der Exchange-Verwaltungsshell häufig verwendet, um sowohl das SSL- als auch das TLS-Protokoll zu umfassen. „SSL“ bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Wenn Sie herausfinden möchten, warum Sie das SSL-Protokoll deaktivieren und zu TLS wechseln sollten, lesen Sie Schutz vor dem Sicherheitsrisiko von SSL 3.0.

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

New-ExchangeCertificate

In diesem Beispiel wird ein selbstsigniertes Zertifikat mit den folgenden Einstellungen erstellt:

  • Der Subject-Wert ist CN=<ServerName> (z. B. CN=Mailbox01).
  • Der Wert Domänen (alternative Antragstellernamen) ist <ServerName>,<ServerFQDN> (z. B Mailbox01,Mailbox01.contoso.com. ).
  • Der Services-Wert lautet IMAP,POP,SMTP.
  • Der Dienstwert SMTP gewährt der lokalen Sicherheitsgruppe "Netzwerkdienste" Lesezugriff auf den privaten Schlüssel des Zertifikats.
  • Der Dienstwert SMTP und der Subject-Wert, der den Servernamen enthält, veröffentlicht das Zertifikat in Active Directory, damit exchange direct trust die Authentizität des Servers für gegenseitiges TLS überprüfen kann.

Wenn dieses Zertifikat nicht das vorhandene selbstsignierte Zertifikat ersetzen soll, das während des Exchange-Setups erstellt wurde, stellen Sie sicher, dass Sie in der Eingabeaufforderung, in der Sie aufgefordert werden, das vorhandene SMTP-Standardzertifikat zu überschreiben, "Nein" auswählen.

Beispiel 2

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate -PrivateKeyExportable $true

In diesem Beispiel wird gezeigt, wie sie ein selbstsigniertes Zertifikat mit einem bestimmten Fingerabdruckwert erneuern. Sie können den Fingerabdruckwert auf eine von zwei Arten finden:

  • Wählen Sie das Zertifikat im Exchange Admin Center und dann Bearbeiten aus, um die Eigenschaften des Zertifikats anzuzeigen. Der Fingerabdruckwert wird im Fenster Exchange-Zertifikat angezeigt.
  • Führen Sie das Cmdlet Get-ExchangeCertificate aus, um eine Liste aller auf dem Server installierten Zertifikate mit ihren Fingerabdruckwerten zurückzugeben.

Wenn Sie den Parameter PrivateKeyExportable auf den Wert $true festlegen, kann das erneuerte selbstsignierte Zertifikat vom Server exportiert (und auf anderen Servern importiert werden).

Beispiel 3

New-ExchangeCertificate -GenerateRequest -SubjectName "c=US,o=Woodgrove Bank,cn=mail.woodgrovebank.com" -DomainName autodiscover.woodgrovebank.com,mail.fabrikam.com,autodiscover.fabrikam.com -RequestFile "C:\Cert Requests\woodgrovebank.req"

In Exchange 2013 erstellt dieses Beispiel eine neue Zertifikatanforderung für eine Zertifizierungsstelle mit den folgenden Einstellungen:

  • Die Anforderung ist Base64-codiert.
  • Der Subject-Wert ist c=US,o=Woodgrove Bank,cn=mail.woodgrovebank.com.
  • Der Wert Domänen (alternative Antragstellernamen) enthält die zusätzlichen valuesautodiscover.woodgrovebank.com, mail.fabrikam.com und autodiscover.fabrikam.com.
  • Die Befehlsausgabe wird auf dem Bildschirm angezeigt und auch in die Textdatei C:\Cert Requests\woodgrovebank.req geschrieben.

Hinweis: Der Parameter RequestFile ist nur in Exchange 2013 verfügbar. Informationen zum Erstellen einer neuen Zertifikatanforderungsdatei in Exchange 2016 oder Exchange 2019 finden Sie unter Beispiel 4 und Beispiel 5.

Nachdem Sie die Zertifikatanforderung erstellt haben, senden Sie die Ausgabe an die Zertifizierungsstelle. Nachdem Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, installieren Sie das Zertifikat mithilfe des Cmdlets Import-ExchangeCertificate und weisen das Zertifikat exchange-Diensten mithilfe des Cmdlets Enable-ExchangeCertificate zu.

Wenn die Zertifizierungsstelle die Zertifikatanforderung in einer Datei erfordert, die mit DER codiert ist, verwenden Sie den BinaryEncoding-Schalter, und speichern Sie die Datei mit der Erweiterung .pfx.

Beispiel 4

$txtrequest = New-ExchangeCertificate -GenerateRequest -SubjectName "c=US,o=Woodgrove Bank,cn=mail.woodgrovebank.com" -DomainName autodiscover.woodgrovebank.com,mail.fabrikam.com,autodiscover.fabrikam.com

[System.IO.File]::WriteAllBytes('\\FileServer01\Data\woodgrovebank.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

In diesem Beispiel wird eine neue Base64-codierte Zertifikatanforderung für eine Zertifizierungsstelle mit den gleichen Zertifikateinstellungen wie in Beispiel 3 erstellt.

Diese Methode ist in Exchange 2016 und Exchange 2019 erforderlich, da der Parameter RequestFile nicht verfügbar ist.

Beispiel 5

$binrequest = New-ExchangeCertificate -GenerateRequest -BinaryEncoded -SubjectName "c=US,o=Woodgrove Bank,cn=mail.woodgrovebank.com" -DomainName autodiscover.woodgrovebank.com,mail.fabrikam.com,autodiscover.fabrikam.com

[System.IO.File]::WriteAllBytes('\\FileServer01\Data\woodgrovebank.pfx', $binrequest.FileData)

In diesem Beispiel wird eine neue DER-codierte (binäre) Zertifikatanforderung für eine Zertifizierungsstelle mit den gleichen Zertifikateinstellungen wie in Beispiel 4 erstellt.

Diese Methode ist in Exchange 2016 und Exchange 2019 erforderlich, da der Parameter RequestFile nicht verfügbar ist.

Beispiel 6

Get-ExchangeCertificate -Thumbprint 8A141F7F2BBA8041973399723BD2598D2ED2D831 | New-ExchangeCertificate -GenerateRequest -RequestFile "C:\Cert Requests\fabrikam_renewal.req"

In Exchange 2013 wird in diesem Beispiel eine Anforderung zum Erneuern eines vorhandenen Zertifikats erstellt, das von einer Zertifizierungsstelle ausgestellt wurde. Die Zertifikatsanforderungen weist die folgenden Einstellungen auf:

  • Der Fingerabdruckswert des vorhandenen Zertifikats lautet 8A141F7F2BBA8041973399723BD2598D2ED2D831. Sie können mithilfe des Cmdlets Get-ExchangeCertificate nach dem Fingerabdruckwert suchen.
  • Die Anforderung ist Base64-codiert.
  • Die Ausgabe wird auf dem Bildschirm angezeigt und auch in die Textdatei C:\Cert Requests\fabrikam_renewal.req geschrieben.

Hinweis: Der Parameter RequestFile ist nur in Exchange 2013 verfügbar. Informationen zum Erstellen einer Zertifikatverlängerungsanforderung für eine Zertifizierungsstelle in Exchange 2016 oder Exchange 2019 finden Sie unter Beispiel 7 und Beispiel 8.

Nach dem Erstellen der Zertifikatserneuerungsanforderung senden Sie die Ausgabe an die Zertifizierungsstelle. Nachdem Sie das erneuerte Zertifikat von der Zertifizierungsstelle erhalten haben, installieren Sie das Zertifikat mithilfe des Cmdlets Import-ExchangeCertificate.

Beispiel 7

$txtrequest = Get-ExchangeCertificate -Thumbprint 8A141F7F2BBA8041973399723BD2598D2ED2D831 | New-ExchangeCertificate -GenerateRequest

[System.IO.File]::WriteAllBytes('C:\Cert Requests\fabrikam_renewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

In diesem Beispiel wird eine Base64-codierte Zertifikaterneuerungsanforderungsdatei für eine Zertifizierungsstelle mit den gleichen Zertifikateinstellungen wie in Beispiel 6 erstellt.

Diese Methode ist in Exchange 2016 und Exchange 2019 erforderlich, da der Parameter RequestFile nicht verfügbar ist.

Beispiel 8

$binrequest = Get-ExchangeCertificate -Thumbprint 8A141F7F2BBA8041973399723BD2598D2ED2D831 | New-ExchangeCertificate -GenerateRequest

[System.IO.File]::WriteAllBytes('C:\Cert Requests\fabrikam_renewal.pfx', $binrequest.FileData)

In diesem Beispiel wird eine neue Der-codierte (binäre) Zertifikaterneuerungsanforderungsdatei für eine Zertifizierungsstelle mit den gleichen Zertifikateinstellungen wie in Beispiel 7 erstellt.

Parameter

-BinaryEncoded

Der BinaryEncoded-Schalter gibt an, ob die neue Zertifikatanforderung mithilfe von Distinguished Encoding Rules (DER) codiert werden soll. Sie müssen keinen Wert für diese Option angeben.

Wenn Sie diesen Switch nicht verwenden, ist die Anforderung Base64-codiert.

Dieser Switch ist nur verfügbar, wenn Sie den Switch GenerateRequest verwenden.

Bei Base64-codierten Anforderungen senden Sie die Inhalte der Datei an die Zertifizierungsstelle. Bei durch DER codierten Anforderungen senden Sie die Zertifikatsdatei selbst.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Confirm

Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.

  • Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen: -Confirm:$false.
  • Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-DomainController

Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.

Der DomainController-Parameter wird auf Edge-Transport-Servern nicht unterstützt. Edge-Transport-Server verwenden die lokale Instanz von Active Directory Lightweight Directory Services (AD LDS), um Daten zu lesen und zu schreiben.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-DomainName

Der Parameter DomainName gibt einen oder mehrere FQDNs oder Servernamen für das Feld Alternativer Antragstellername (auch als Antragsteller-Altname oder SAN-Feld bezeichnet) der Zertifikatanforderung oder des selbstsignierten Zertifikats an.

Wenn der Wert im Subject-Feld des Zertifikats nicht mit dem Zielservernamen oder dem vollqualifizierten Domänennamen übereinstimmt, sucht der Anforderer nach einer Übereinstimmung im Feld Subject Alternative Name.

Für gewöhnlich enthalten Werte Servernamen (beispielsweise „Mailbox01“) oder vollqualifizierte Domänennamen (beispielsweise „mail.contoso.com“). Es können mehrere Werte durch Kommata getrennt angegeben werden. Valuescan enthält die Zeichen a bis z, 0 bis 9 und den Bindestrich (-). Die Länge des Domänennamens darf 255 Zeichen nicht überschreiten.

Der Standardwert enthält den Namen und den FQDN des Exchange-Servers, wenn die beiden folgenden Bedingungen erfüllt sind:

  • Sie verwenden diesen Parameter nicht.
  • Sie verwenden keinen der folgenden Parameter: IncludeAcceptedDomains, IncludeAutoDiscover, IncludeServerFQDN oder IncludeServerNetBIOSName.
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Force

Der Schalter „Erzwingen“ blendet Warnungs- oder Bestätigungsmeldungen aus. Sie müssen keinen Wert für diese Option angeben.

Wenn Sie ein für SMTP (kein Services-Parameter oder der Services-Parameter enthält den Wert SMTP) aktiviertes selbstsigniertes Zertifikat erstellen, werden Sie standardmäßig aufgefordert, das vorhandene standardmäßige SMTP-Zertifikat durch das neue zu ersetzen, das Sie erstellen. Wenn Sie den Force-Switch verwenden, ersetzt das neue SMTP-Zertifikat automatisch das vorhandene SMTP-Zertifikat, ohne dass Sie gefragt werden.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-FriendlyName

Der Parameter FriendlyName gibt einen Anzeigenamen für die Zertifikatsanforderung oder das selbstsignierte Zertifikat an. Der Wert darf maximal 64 Zeichen lang sein.

Der Standardwert ist Microsoft Exchange. Der Wert des Anzeigenamens ist eine Beschreibung, und wirkt sich nicht auf die Funktionalität des Zertifikats aus.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-GenerateRequest

Der Switch GenerateRequest gibt an, dass Sie eine Zertifikatsanforderung für eine Zertifizierungsstelle erstellen. Sie müssen keinen Wert für diese Option angeben.

Wenn Sie diesen Schalter verwenden und die Ausgabe in eine Datei exportieren, wird eine PKCS #10-Zertifikatanforderung generiert, die Sie an die Zertifizierungsstelle senden. Wie Sie die Informationen senden, hängt von der Zertifizierungsstelle ab, aber in der Regel fügen Sie bei Base64-codierten Anforderungen den Inhalt in eine E-Mail-Nachricht oder in das Anforderungsformular auf der Website der Zertifizierungsstelle ein.

Nachdem Sie das Zertifikat von der Zertifizierungsstelle mithilfe des Cmdlets Import-ExchangeCertificate installiert haben, verwenden Sie das Cmdlet Enable-ExchangeCertficate, um das Zertifikat für Exchange-Dienste zu aktivieren.

Wenn Sie diesen Schalter nicht verwenden, erstellt der Befehl ein neues selbstsigniertes Zertifikat auf dem Exchange-Server.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-IncludeAcceptedDomains

Der Schalter IncludeAcceptedDomains gibt an, dass alle akzeptierten Domänen in der Exchange-Organisation im Feld Alternativer Antragstellername der Zertifikatanforderung oder des selbstsignierten Zertifikats enthalten sind. Sie müssen keinen Wert für diese Option angeben.

Beim Verwenden dieses Switches:

  • Wenn Sie bereits eine akzeptierte Domäne im DomainName-Parameter verwenden, wird der Wert im Feld Subject Alternative Name nicht dupliziert.
  • Wenn Sie bei neuen selbstsignierten Zertifikaten nicht den Parameter Services verwenden, wird das Zertifikat nur SMTP zugewiesen.
Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-IncludeAutoDiscover

Der IncludeAutoDiscover-Schalter gibt an, ob für jede akzeptierte Domäne in der Exchange-Organisation ein Alternativer Antragstellernamewert mit dem Präfix autoErmittlung hinzugefügt werden soll. Sie müssen keinen Wert für diese Option angeben.

Wenn zur Organisation beispielsweise die akzeptierten Domänen woodgrovebank.com und woodgrovebank.co.uk zählen, führt die Verwendung dieses Switches zur Addition der folgenden Werte im Feld Subject Alternative Name:

  • autodiscover.woodgrovebank.com
  • autodiscover.woodgrovebank.co.uk

Beim Verwenden dieses Switches:

  • Wenn Sie den Wert autodiscover.<AcceptedDomain> bereits in den Parameter DomainName eingefügt haben, wird der Wert nicht im Feld Alternativer Antragstellername dupliziert.
  • Wenn Sie bei neuen selbstsignierten Zertifikaten nicht den Parameter Services verwenden, wird das Zertifikat nur SMTP zugewiesen.
Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-IncludeServerFQDN

Der IncludeServerFQDN-Schalter gibt an, dass der FQDN des Exchange-Servers im Feld Alternativer Antragstellername der neuen Zertifikatanforderung oder des selbstsignierten Zertifikats enthalten ist. Sie müssen keinen Wert für diese Option angeben.

Wenn Sie diesen Schalter verwenden und den FQDN des Servers bereits in den DomainName-Parameter eingefügt haben, wird der Wert nicht im Feld Alternativer Antragstellername dupliziert.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-IncludeServerNetBIOSName

Der IncludeServerNetBIOSName-Schalter gibt an, dass der NetBIOS-Name des Exchange-Servers im Feld Alternativer Antragstellername der neuen Zertifikatanforderung oder des selbstsignierten Zertifikats enthalten ist. Sie müssen keinen Wert für diesen Switch angeben.

Wenn Sie diesen Schalter verwenden und den NetBIOS-Namen des Servers bereits in den DomainName-Parameter eingefügt haben, wird der Wert nicht im Feld Alternativer Antragstellername dupliziert.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Instance

Dieser Parameter wird nicht mehr unterstützt und daher nicht mehr verwendet.

Type:X509Certificate2
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-KeySize

Der Parameter KeySize gibt die Größe (in Bits) des öffentlichen RSA-Schlüssels an, der mit der neuen Zertifikatanforderung oder dem selbstsignierten Zertifikat verknüpft ist. Gültige Werte sind:

  • 1024
  • 2048 (Dies ist der Standardwert)
  • 4096
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-PrivateKeyExportable

Der Parameter PrivateKeyExportable gibt an, ob das Zertifikat über einen exportierbaren privaten Schlüssel verfügt, und steuert, ob Sie das Zertifikat vom Server exportieren (und das Zertifikat auf anderen Servern importieren) können. Gültige Werte sind:

  • $true: Der private Schlüssel kann exportiert werden, sodass Sie das Zertifikat vom Server exportieren können.
  • $false: Der private Schlüssel kann nicht exportiert werden, sodass Sie das Zertifikat nicht exportieren können. Dies ist der Standardwert.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-RequestFile

Hinweis: Dieser Parameter wurde vom kumulativen 2022 H1-Aktualisierungen aus Exchange 2016 und Exchange 2019 entfernt, da er UNC-Pfadwerte akzeptiert. Informationen zum Exportieren der Zertifikatanforderung in eine Datei ohne Verwendung des RequestFile-Parameters finden Sie unter Beispiel 4 und Beispiel 5 (neu) oder Beispiel 7 und Beispiel 8 (erneuern).

Dieser Parameter ist nur in Exchange 2013 verfügbar.

Der Parameter RequestFile gibt den Namen und den Pfad der Zertifikatsanforderungsdatei an. Die Datei enthält dieselben Informationen, die auf dem Bildschirm angezeigt werden, wenn Sie eine Base64-codierte Zertifikatsanforderung (der Switch BinaryEncoded wird von Ihnen nicht verwendet) generieren.

Sie können einen lokalen Pfad verwenden, wenn sich das Zertifikat oder die Zertifikatanforderung auf demselben Exchange-Server befindet, auf dem Sie den Befehl ausführen. Verwenden Sie andernfalls einen UNC-Pfad (\\Server\Share). Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Sie können diesen Parameter nur verwenden, wenn Sie den Switch GenerateRequest verwenden.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013

-Server

Der Parameter "Server" gibt den Exchange-Server an, auf dem dieser Befehl ausgeführt werden soll. Der Parameter MailboxServer gibt den zu testenden exExchange2k16- oder exExchange2k13-Postfachserver an. Beispiel:

  • Name
  • FQDN
  • Distinguished Name (DN)
  • Exchange-Legacy-DN

Exchange-Legacy-DN

Type:ServerIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Services

Der Parameter Services gibt die Exchange-Dienste an, für die das neue selbstsignierte Zertifikat aktiviert ist. Gültige Werte sind:

  • Keine: Sie können das Zertifikat für Exchange-Dienste später mithilfe des Cmdlets Enable-ExchangeCertificate aktivieren.
  • Partnerverbund
  • IIS
  • IMAP: Aktivieren Sie kein Wildcardzertifikat für den IMAP4-Dienst. Verwenden Sie stattdessen das Cmdlet Set-ImapSettings, um den FQDN zu konfigurieren, den Clients zum Herstellen einer Verbindung mit dem IMAP4-Dienst verwenden.
  • POP: Aktivieren Sie kein Wildcardzertifikat für den POP3-Dienst. Verwenden Sie stattdessen das Cmdlet Set-PopSettings zum Konfigurieren des vollqualifizierten Domänennamens, den Clients verwenden, um eine Verbindung zum POP3-Dienst herzustellen.
  • SMTP: Wenn Sie ein Zertifikat für SMTP aktivieren, werden Sie aufgefordert, das standardmäßige selbstsignierte Exchange-Zertifikat zu ersetzen, das zum Verschlüsseln des SMTP-Datenverkehrs zwischen internem Exchange verwendet wird. Verwenden Sie den Switch Force, wenn Sie das Standardzertifikat ohne die Eingabeaufforderung ersetzen möchten.
  • UM: Dieser Wert erfordert, dass der UMStartupMode-Parameter im cmdlet Set-UMService auf TLS oder Dual festgelegt ist. Wenn der Parameter UMStartupMode auf den Standardwert von TCP festgelegt ist, können Sie das Zertifikat nicht für den UM-Dienst aktivieren.
  • UMCallRouter: Dieser Wert erfordert, dass der UMStartupMode-Parameter im cmdlet Set-UMCallRouterService auf TLS oder Dual festgelegt ist. Wenn der Parameter UMStartupMode auf den Standardwert TCP festgelegt ist, können Sie das Zertifikat nicht für den UM-Anrufweiterleitungsdienst aktivieren.

Es können mehrere Werte durch Kommata getrennt angegeben werden. Die Standardwerte sind IMAP, POP und SMTP.

Sie können diesen Parameter nicht mit dem Switch GenerateRequest verwenden.

Nachdem Sie ein Zertifikat für einen Dienst aktiviert haben, können Sie den Dienst nicht mehr aus dem Zertifikat entfernen.

Type:AllowedServices
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-SubjectKeyIdentifier

Der Parameter SubjectKeyIdentifier gibt den eindeutigen Antragstellerschlüsselbezeichner für ein neu signiertes Zertifikat an. Führen Sie beispielsweise den Befehl $ski = [System.Guid]::NewGuid().ToString("N") aus, und verwenden Sie den Wert $ski für diesen Parameter.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-SubjectName

Der Parameter SubjectName gibt das Feld Subject der Zertifikatsanforderung oder des selbstsignierten Zertifikats an.

Für jedes Zertifikat ist ein Wert für das Feld Subject erforderlich, und nur ein Wert ist zulässig. Der Anforderer versucht, den Zielservernamen oder FQDN mit dem CN-Wert (allgemeiner Name, Common Name) des Antragstellers abzugleichen.

Für diesen Parameter wird die Syntax verwendet: [C=CountryOrRegion,S=StateOrProvince,L=LocalityOrCity,O=Organization,OU=Department],CN=HostNameOrFQDN. Obwohl der einzige erforderliche Wert ist CN=HostNameOrFQDN, sollten Sie für Zertifikatanforderungen immer einschließen C=CountryOrRegion , aber möglicherweise sind auch andere Werte von der Zertifizierungsstelle erforderlich.

Wenn der Zertifikatantragsteller beispielsweise „mail.contoso.com“ in den USA sein soll, können Sie einen der folgenden Werte verwenden:

  • C=US,S=WA,L=Redmond,O=Contoso,OU=IT,CN=mail.contoso.com
  • C=US,O=Contoso,CN=mail.contoso.com
  • C=US,CN=mail.contoso.com

Wenn Sie diesen Parameter nicht verwenden, ist der Standardwert der Name des Exchange-Servers, auf dem Sie den Befehl ausführen (z. B. CN=Mailbox01).

Bei einem SAN-Zertifikat (Subject Alternative Name, alternativen Antragstellernamen) sollten Sie einen der Werte aus dem Parameter DomainName für die Verwendung im Wert SubjectName auswählen. Der von Ihnen für SubjectName anzugebende CN-Wert, wird automatisch in den DomainName-Werten verwendet.

Verwenden Sie für ein Platzhalterzertifikat einen SubjectName-Wert, der den Platzhalter (*) enthält. Zum Beispiel C=US,CN=*.contoso.com.

Type:X500DistinguishedName
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-WhatIf

Die Option "WhatIf" simuliert die Aktionen des Befehls. Sie können diesen Switch verwenden, um die Änderungen anzuzeigen, die auftreten würden, ohne diese Änderungen tatsächlich anzuwenden. Sie müssen keinen Wert für diese Option angeben.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

Eingaben

Input types

Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.

Ausgaben

Output types

Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.