image2

You Are here: Start Kategorie als Blog Zertifikat für Exchange 2007 erstellen/erneuern

Zertifikat für Exchange 2007 erstellen/erneuern PDF Drucken E-Mail
Donnerstag, den 17. März 2011 um 14:16 Uhr

Da Zertifikate nach einer bestimmten Zeit ausgetauscht werden müssen, gibt es hier ein kurze Zusammenfassung für Exchange 2007.

Man sollte eigentlich wissen, wann ein Zertifikat ausläuft, doch bekommt man es oft erst mit, wenn RPCoverHTTPS nicht mehr läuft oder OWA eine Fehlermeldung bringt.

Überprüfen kann man das direkt über das Zertifikat oder „get-exchangecertifikat|fl thu*,notafter“.


Ein komplett neues Zertifikat kann man sich über „New-ExchangeCertificate“ generieren. Ohne den Zusatz „GenerateRequest“ würde man ein selbstsigniertes Zertifikat ohne Anforderung erstellen. Wichtig sind dabei die DomainNames, denn alle Seiten, über die der Exchange zu erreichen ist, sind dort zu hinterlegen.

- Interner Servername und interner FQDN
- Autodiscover
- RPC-Ziel

New-ExchangeCertificate -GenerateRequest -Path c:\ex_aet_eu.csr


Die Arbeit kann man sich mit dem Command Wizard etwas erleichtern - https://www.digicert.com/easy-csr/exchange2007.htm:


Um auf ein vorhandenes Zertifikat aufzubauen, kann man es sich mit get holen und durchpipen:

Get-ExchangeCertificate| New-ExchangeCertificate -GenerateRequest -Path c:\ex_eu.csr –FriendlyName „Exchange Cert 2011“
Das Zertifikat kann bereits genutzt werden, ist aber als selbstsigniert gekennzeichnet:

Die Anforderung sollte am gewünschten Pfad liegen. Der Inhalt des Requests wird nun bei einer Zertifikatsstelle eingereicht – in meinem Beispiel eine lokale… Im Folgenden werden die Bilder der Einreichung im Schnelldurchgang gezeigt:

Im letzten Punkt wird das Zertifikat gespeichert, das im nächsten Schritt wieder importiert werden muss:

Import-ExchangeCertificate -Path C:\certnew2011.cer

Zertifikat aktivieren: Enable-ExchangeCertificate -Thumbprint 7F5956B050AE19AEB1715D303EDE302AF3BB563C -Services SMTP,IMAP,POP,IIS

…und alte Zertifikate löschen, wenn alles läuft.

Das Zertifikat wird jetzt an Domain-Clients akzeptiert. Beim iPhone muss man das Zertifikat nur kurz akzeptieren, während man an Windows-Clients das Zertifikat der CA zu den vertrauenswürdigen Stammzertifizierungsstellen hinzufügen muss - das ist natürlich auch über eine GPO möglich:

Alternativ kann man auch ein öffentliches Zertifikat kaufen...