Konfigurieren von SSL-Zertifikaten für die Verwendung von mehreren Hostnamen für Clientzugriffsserver

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-10-24

In diesem Thema wird erläutert, wie die Exchange-Verwaltungsshell zum Konfigurieren der vorhandenen SSL-Zertifikate (Secure Sockets Layer) für die Verwendung mehrerer Hostnamen verwendet werden kann.

Beim Bereitstellen von Computern mit Microsoft Exchange Server 2007, auf denen die Serverfunktion ClientAccess installiert ist, müssen Sie sicherstellen, dass alle Clients, wie etwa Outlook Web Access und Outlook 2007, imstande sind, Verbindungen zu den Diensten mithilfe einer verschlüsselten Sitzung herzustellen, ohne eine Fehlermeldung zu empfangen, dass das Zertifikat nicht vertrauenswürdig ist.

Hinweis

Damit Internet Security and Acceleration (ISA) Server SSL-Verbindungen mit Exchange 2007 verarbeiten kann, müssen Sie den eigenen Antragstellernamen des Zertifikats als ersten SAN-Eintrag berücksichtigen, wenn Sie anfordern möchten, dass ein Zertifikat auf mehreren Servern oder mit mehreren Hostnamen verwendet wird.

Mithilfe der Exchange-Verwaltungsshell können Sie eine Zertifikatanforderung erstellen, die alle DNS-Hostnamen der Clientzugriffsserver enthält. Anschließend können Sie die Benutzer für das Herstellen von Verbindungen mit dem Zertifikat für Dienste wie Outlook Anywhere, AutoErmittlung, POP3 und IMAP4 oder Unified Messaging aktivieren, die im alternativen Namensattribut aufgelistet sind. So können Ihre Benutzer beispielsweise imstande sein, Verbindungen mit Ihren Exchange-Diensten über die in den folgenden Beispielen aufgeführten Namen herzustellen:

• https://CAS01/owa

• https://CAS01.FQDN.name/owa

• https://CASIntranetName/owa

• https://autodiscover.emaildomain.com

Statt mehrere Zertifikate vorschreiben und die Konfiguration mehrerer IP-Adressen und IIS-Websites (Internet Information Services) für jede Kombination aus IP-Port und Zertifikat verwalten zu müssen, können Sie ein einzelnes Zertifikat erstellen, das den Clients die erfolgreiche Verbindung mit jedem Hostnamen mithilfe von SSL oder TLS (Transport Layer Security) ermöglicht.

Sie können ein einzelnes Zertifikat erstellen, indem Sie der Eigenschaft Alternativer Antragstellername in der Zertifikatanforderung alle möglichen DNS-Namenswerte hinzufügen. Eine auf den Microsoft Windows-Zertifikatdiensten basierende Zertifizierungsstelle muss ein Zertifikat für eine derartige Anforderung erstellen. 

Hinweis

Drittanbieterzertifizierungsstellen oder internetbasierte Zertifizierungsstellen geben Zertifikate nur für DNS-Namen aus, für die Sie autorisiert sind. Daher sind Intranet-DNS-Namen wahrscheinlich nicht zulässig.

Gehen Sie wie folgt vor, um Ihre SSL-Zertifikate für die Verwendung mehrerer Hostnamen von Clientzugriffsservern zu konfigurieren:

1. Verwenden Sie das Cmdlet New-ExchangeCertificate, um eine Zertifikatanforderungsdatei zu erstellen.

2. Senden Sie diese Datei an eine Zertifizierungsstelle für Windows-Zertifikatdienste, und verwenden Sie die Webserver-Vorlage auf der Seite Zertifizierungsstelle. Dieses Verfahren führt zu einer CER-Datei, die auf dem Clientzugriffsserver importiert werden kann.

3. Verwenden Sie das Cmdlet Get-ExchangeCertificate, um den Fingerabdruck für das Zertifikat zu bestimmen.

4. Nachdem Sie das Zertifikat importiert haben, können Sie es IIS, IMAP4 und POP3 mithilfe des Cmdlets Enable-ExchangeCertificate zuweisen.

Bevor Sie beginnen

Die folgenden Verfahren müssen mithilfe eines Kontos ausgeführt werden, dem die Rolle Exchange-Administrator mit Leserechten zugewiesen wurde.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Wichtig

Lesen Sie vor dem Ausführen des folgenden Verfahrens Verwalten der Clientzugriffssicherheit.

Wichtig

Um eine optimale Sicherheit zu gewährleisten, sollten Sie bei der Anmeldung an Ihrem Computer ein Konto verwenden, das nicht der Gruppe Administratoren angehört, und anschließend den Befehl runas aufrufen, um Internetinformationsdienste-Manager als Administrator auszuführen. Geben Sie an der Eingabeaufforderung runas /user:Name_des_administrativen_Kontos"mmc systemroot\system32\inetsrv\iis.msc" ein.

Wichtig

Eine Vielzahl von Variablen muss beim Konfigurieren von Zertifikaten für SSL- oder TLS-Dienste berücksichtigt werden. Sie müssen unbedingt verstehen, welche Auswirkungen diese Variablen auf Ihre Gesamtkonfiguration haben können. Bevor Sie fortfahren, lesen Sie Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS.

Verfahren

So erstellen Sie eine neue Zertifikatanforderungsdatei mithilfe der Exchange-Verwaltungsshell

1. Führen Sie den folgenden Befehl aus:

   New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt
   

   Durch diesen Befehl wird eine Textdatei erstellt, die eine Zertifikatanforderung im PKCS#10-Format enthält.

So importieren Sie ein Zertifikat mithilfe der Exchange-Verwaltungsshell

1. Führen Sie den folgenden Befehl aus:

   Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
   

So verwenden Sie die Exchange-Verwaltungsshell zum Bestimmen des Fingerabdrucks Ihres Zertifikats

1. Führen Sie zum Bestimmen des Fingerabdrucks den folgenden Befehl aus:

   Get-ExchangeCertificate -DomainName "CAS01"
   

Hinweis

Dieser Befehl gibt mehrere Zertifikate zurück, wenn mehrere Zertifikate vorhanden sind, die dem angegebenen Hostnamen entsprechen. Stellen Sie daher sicher, dass Sie für die Anforderung den Fingerabdruck des richtigen Zertifikats auswählen.

So verwenden Sie die Exchange-Verwaltungsshell, um das Zertifikat IIS, POP3 und IMAP4 zuzuweisen

1. Führen Sie den folgenden Befehl aus, um das Zertifikat IIS, POP3 und IMAP4 zuzuweisen:

   Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
   

2. Oder führen Sie alternativ den folgenden Befehl aus, um das Zertifikat einem Server zuzuweisen, der seinerseits das Zertifikat allen Diensten zuweist, die auf dem Exchange-Server ausgeführt werden:

   Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP" 
   

Weitere Informationen über Syntax und Parameter für die Cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate und New-ExchangeCertificate finden Sie unter Globale Cmdlets.

Weitere Informationen

Weitere Informationen über das Erstellen von Zertifikaten oder Zertifikatanforderungen für SSL oder TLS finden Sie unter Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS.