Hat man eine eigene Stammzertifizierungsstelle – ob nun mit oder ohne selbstsigniertem Zertifikat, kann man für den oder die Exchange Server recht einfach ein neues Zertifikat erstellen. Wie man eine eigene Stammzertifizierungsstelle mit selbstsigniertem Zertifikat einrichtet habe ich bereits an anderer Stelle beschrieben. Bei mehreren Exchange Client Access Servern (CAS) empfiehlt sich ohnehin ein CASArray bei dem dann ein neues Zertifikat erforderlich wird, welches für das gesamte CASArray gültig ist. Nachfolgendes Tutorial zeigt wie man für ein CASArray ein neues selbstsigniertes Zertifikat ausstellt und das funktioniert genauso für nur einen Exchange Server ohne CASArray.
Bei einer Stammzertifizierungsstelle mit selbstsigniertem Zertifikat sollte vorher sichergestellt werden, dass das Stammzertifikat bzw. die Zertifikatskette manuell oder per Gruppenrichtlinie auch an die Clients verteilt wird, sonst erscheint dann irgendwann die Meldung „Das Zertifikat ist für die Exchange Server-Verwendung ungültig“.
Schritt 1: Neues selbstsigniertes Zertifikat in Exchange erstellen
- Exchange Verwaltungskonsole öffnen
- Unter Serverkonfiguration den ersten Server auswählen und auf der rechten Seite auf „Neues Exchange Zertifikat erstellen“ gehen
- Anzeigename festlegen
- Die Exchange Konfiguration im nächsten Schritt sollte etwas mit bedacht ausgefüllt werden, denn hier wird festgelegt für welche (Domain-)namen das Zertifikat erforderlich ist. Bei den internen und externen Domainangaben sollte bei einem CASArray immer der DNS-Eintrag des CASArrays genommen werden und nicht die der Server selbst
- Im nächsten Schritt dann noch evtl. fehlende Zertifikatsdomänen festlegen, so z.B. die einzelnen Servernamen (falls diese mal nicht über das CASArray sondern direkt angesteuert werden)
- Organisation und Standort ausfüllen und den Pfad der Zertifikatanforderungsdatei festlegen (Diese Datei wird in Schritt 2 benötigt)
- Fertigstellen
Schritt 2: Zertifikatsanforderung einsenden
- Rufen Sie die Webansicht der Microsoft Active Directory Zertifikatsdienste auf (http://ZERTIFIKATSSERVER/certSrv/)
- Aufgabe „Ein Zertifikat anfordern“ wählen
- senden Sie eine erweiterte Zertifikatsanforderung ein
- reichen Sie eine Zertifikatsanforderung ein, die eine BASE 64-codierte CMD oder PKCS10-Datein verwendet
- Kopieren Sie den Textinhalt der im Schritt 1 erstellten Zertifikatanforderungsdatei in das Feld „Base-64-codierte Zertifikatsanforderung“
- Wählen Sie als Zertifikatsvorlage „Webserver“ und speichern Sie die erhaltene Datei
Schritt 3: Ausstehende Zertifikatsanforderung ausstellen
- Rechtsklick auf das neu erstellte Zertifikat in der Exchange Verwaltungskonsole/Anstehende Anforderung abschließen
- Exportierte Zertifikatanforderungsdatei aus Schritt 2 auswählen
- Nach Fertigstellen sollten Sie ein gültiges, neues selbstsigniertes Zertifikat besitzen
Schritt 4: Neues selbstsigniertes Zertifikat auf den anderen Exchange Servern importieren
Haben Sie mehr als einen Exchange Server, so muss das Zertifikat auch dort importiert werden.
- Rechtsklick auf das neu erstellte Zertifikat in der Exchange Verwaltungskonsole/Exchange-Zertifikat exportieren
- Dateiangeben/Passwort festlegen
- Gehen in der Serverkonfiguration auf den zweiten Server
- Klicken Sie auf der rechten Seite auf Exchange-Zertifikat importieren
- Nach Fertigstellen sollten Sie auch auf diesem Server ein gültiges und neues selbstsigniertes Zertifikat besitzen
Schritt 5: Dem Zertifikat Dienste zuweisen
- Rechtsklick auf das Zertifikat/Dem Zertifikat Dienste zuordnen
Serverauswählen (sollten alle vorhanden sein sofern Sie die gleichen Rollen haben) - Dienste auswählen
- Fertigstellen
Je nach Konfiguration können hier Dienste wegfallen (beispielweise Unified Messaging)
Schritt 6: Neues selbstsigniertes Zertifikat verteilen
Dieser Schritt ist nur notwendig, wenn das Zertifikat selbstsigniert ist und das sehr bequem per Gruppenrichtlinie.