(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

New-ExchangeCertificate

 

Gilt für: Exchange Server 2013

Letztes Änderungsdatum des Themas: 2012-09-18

Verwenden Sie das Cmdlet New-ExchangeCertificate, um ein selbstsigniertes Zertifikat zu erstellen, ein vorhandenes selbstsigniertes Zertifikat zu erneuern oder eine neue Zertifikatanforderung zu generieren, um ein Zertifikat von einer Zertifizierungsstelle (Certification Authority, CA) zu erhalten.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax.

New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-GenerateRequest <SwitchParameter>] [-RequestFile <String>] <COMMON PARAMETERS>
New-ExchangeCertificate [-Services <None | IMAP | POP | UM | IIS | SMTP | Federation | UMCallRouter>] <COMMON PARAMETERS>
COMMON PARAMETERS: [-Confirm [<SwitchParameter>]] [-DomainController <Fqdn>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-IncludeServerFQDN <SwitchParameter>] [-IncludeServerNetBIOSName <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdParameter>] [-SubjectKeyIdentifier <String>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

In diesem Beispiel wird das Cmdlet New-ExchangeCertificate ohne Parameter ausgeführt und generiert ein selbstsigniertes Zertifikat. Der Antragstellername des Zertifikats ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des lokalen Computers. Die lokale Sicherheitsgruppe "Network Services" erhält außerdem Lesezugriff auf den dem Zertifikat zugeordneten privaten Schlüssel. Darüber hinaus wird das Zertifikat in Active Directory veröffentlicht, damit von der direkten Exchange-Vertrauensstellung die Authentizität des Servers für MTLS (Mutual TLS) überprüft werden kann.

New-ExchangeCertificate

In diesem Beispiel wird die Zertifikatanforderung im Base64-Format an die Befehlszeilenkonsole ausgegeben. Sie müssen die Zertifikatanforderung an eine Zertifizierungsstelle innerhalb der Organisation, eine vertrauenswürdige Zertifizierungsstelle außerhalb der Organisation oder eine gewerbliche Zertifizierungsstelle senden. Zu diesem Zweck können Sie die Ausgabe der Zertifikatanforderung in eine E-Mail oder in das entsprechende Feld auf der Webseite der Zertifizierungsstelle für Zertifikatanforderungen einfügen. Sie können die Zertifikatanforderung auch mit einem Text-Editor wie dem Windows-Editor in einer Datei speichern.

Dem sich ergebenden Zertifikat werden die folgenden Attribute zugeordnet:

  • Antragstellername: c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com

  • Alternative Antragstellernamen: "woodgrovebank.com" und "example.com"

  • Ein exportierbarer privater Schlüssel

New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable $true

In diesem Beispiel wird eine Variante der in BEISPIEL 2 generierten Zertifikatanforderung gezeigt. Allerdings wird hier die von dem Cmdlet erzeugte Ausgabe der Zertifikatanforderung nicht manuell eingefügt, sondern die Anforderung wird mithilfe des Cmdlets Set-Content in eine Datei geschrieben.

Dem sich ergebenden Zertifikat werden die folgenden Attribute zugeordnet:

  • Antragstellername: c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com

  • Alternative Antragstellernamen: "woodgrovebank.com" und "example.com"

  • Ein exportierbarer privater Schlüssel

Im ersten Schritt wird das Cmdlet New-ExchangeCertificate verwendet, um die Zertifikatanforderung zu generieren und die Ausgabe in einer Variablen mit dem Namen $Data zu speichern.

$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable $true

Im zweiten Schritt wird das Cmdlet Set-Content verwendet, um Daten aus der Variablen in die Zertifikatanforderungsdatei "MyCertRequest.req" im Dokumentenordner zu schreiben.

Set-Content -path "C:\Docs\MyCertRequest.req" -Value $Data

In diesem Beispiel wird die DER-codierte Zertifikatanforderungsdatei erstellt. Zum Generieren der DER-codierten Zertifikatanforderung wird der Parameter BinaryEncoded verwendet. Das Cmdlet Set-Content wird zusammen mit dem Parameter Encoding verwendet, um die Anforderung in eine Datei zu schreiben.

Dem sich ergebenden Zertifikat werden die folgenden Attribute zugeordnet:

  • Antragstellername: c=ES,o=Woodgrove Bank,cn=mail1.woodgrovebank.com

  • Alternative Antragstellernamen: "woodgrovebank.com" und "example.com"

  • Ein exportierbarer privater Schlüssel

Im ersten Schritt wird das Cmdlet New-ExchangeCertificate verwendet, um die Zertifikatanforderung im DER-codierten Format zu generieren und die Ausgabe in einer Variablen mit dem Namen $Data zu speichern.

$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "c=ES, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -BinaryEncoded -PrivateKeyExportable $true

Im zweiten Schritt wird das Cmdlet Set-Content verwendet, um Daten aus der Variablen in die Zertifikatanforderungsdatei "MyCertRequest.req" im Dokumentenordner zu schreiben.

Set-Content -path "C:\Docs\MyCertRequest.req" -Value $Data.FileData -Encoding Byte

In diesem Beispiel wird gezeigt, wie ein selbstsigniertes Zertifikat mit einem bestimmten Fingerabdruckwert erneuert wird. Es gibt zwei Möglichkeiten zum Abrufen des Fingerabdruckwerts.

  • Wählen Sie das Zertifikat in der Exchange-Verwaltungskonsole aus, und klicken Sie anschließend auf Bearbeiten, um die Eigenschaften des Zeritfikats anzuzeigen. Der Fingerabdruckwert wird im Fenster Exchange-Zertifikat angezeigt.

  • Führen Sie das Cmdlet Get-ExchangeCertificate zum Zurückgeben einer Liste aller auf dem Server installierten Zertifikate mit ihren Fingerabdruckwerten aus.

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

In Microsoft Exchange Server 2013 werden Zertifikate für die SSL- und TLS-Verschlüsselung verwendet. Das Cmdlet New-ExchangeCertificate verwendet zahlreiche Parameter des Typs SwitchParameter. Weitere Informationen zur Verwendung dieses Parametertyps finden Sie unter "Switch-Parameter" in Parameter.

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. In diesem Thema sind zwar alle Parameter für das Cmdlet aufgeführt, aber Sie verfügen möglicherweise nicht über Zugriff auf einige Parameter, falls diese nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Zertifikatverwaltung" im Thema Exchange- und Shellinfrastrukturberechtigungen.

 

Parameter Erforderlich Typ Beschreibung

BinaryEncoded

Optional

System.Management.Automation.SwitchParameter

Die Option BinaryEncoded gibt an, wie die Zertifikatanforderung codiert wird. Standardmäßig erstellt dieses Cmdlet eine Base64-codierte Anforderung.

Verwenden Sie diese Option zum Erstellen einer DER-codierten Anforderung.

noteAnmerkung:
Die Option BinaryEncoded ist nur verfügbar, wenn Sie die Option GenerateRequest verwenden.

Confirm

Optional

System.Management.Automation.SwitchParameter

Die Option Confirm bewirkt eine Unterbrechung der Befehlsausführung und erfordert, dass Sie die Aktion des Befehls bestätigen, bevor die Verarbeitung fortgesetzt wird. Für die Option Confirm muss kein Wert angegeben werden.

DomainController

Optional

Microsoft.Exchange.Data.Fqdn

Der Parameter DomainController gibt den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Domänencontrollers an, der diese Konfigurationsänderung in Active Directory schreibt.

DomainName

Optional

Microsoft.Exchange.Data.MultiValuedProperty

Der Parameter DomainName gibt mindestens einen FQDN oder Servernamen an, der im Feld für den Subject Alternative Name der sich ergebenden Zertifikatanforderung oder des selbstsignierten Zertifikats eingefügt werden soll.

Domänennamen dürfen nur die Zeichen a bis z, 0 bis 9 und Bindestriche (-) enthalten. Jeder Domänenname darf höchstens 255 Zeichen lang sein.

Zur Eingabe mehrere Domänen- oder Servernamen müssen Sie die Namen durch Kommata getrennt eingeben.

noteAnmerkung:
Wenn dieser Parameter nicht angegeben ist und Sie die Optionen IncludeAcceptedDomains, IncludeAutoDiscover, IncludeServerFQDN und IncludeServerNetBIOSName nicht verwenden, werden der Hostname und der FQDN des Servers standardmäßig hinzugefügt.

Force

Optional

System.Management.Automation.SwitchParameter

Die Option Force gibt an, ob die Bestätigungsaufforderung außer Kraft gesetzt und das neue selbstsignierte Zertifikat als Standardzertifikat für TLS für die interne SMTP-Kommunikation festgelegt werden soll. Standardmäßig erfordert dieses Cmdlet eine Bestätigung, bevor das neue Zertifikat als Standardzertifikat für die TLS-Verschlüsselung der internen SMTP-Kommunikation festgelegt wird.

FriendlyName

Optional

System.String

Der Parameter FriendlyName gibt einen Anzeigenamen für das Zertifikat an. Der Anzeigename muss weniger als 64 Zeichen enthalten.

Der standardmäßige Anzeigename ist Microsoft Exchange.

GenerateRequest

Optional

System.Management.Automation.SwitchParameter

Die Option GenerateRequest gibt an, ob eine Zertifikatanforderung für ein PKI-Zertifikat (Public Key-Infrastruktur) (PKCS #10) im lokalen Anforderungsspeicher generiert werden soll.

Standardmäßig erstellt dieses Cmdlet ein selbstsigniertes Zertifikat im lokalen Zertifikatspeicher des Computers. Die Option GenerateRequest setzt dieses Verhalten außer Kraft.

IncludeAcceptedDomains

Optional

System.Management.Automation.SwitchParameter

Die Option IncludeAcceptedDomains gibt an, ob alle akzeptierten Domänen in der Organisation in das Feld für den Subject Alternative Name der Zertifikatanforderung oder des selbstsignierten Zertifikats eingefügt werden sollen.

Sie können auch mithilfe des Parameters DomainName zusätzlich zu den akzeptierten Domänen einen oder mehrere Domänennamen angeben. Das sich ergebende Zertifikat bzw. die Anforderung enthält die angegebenen sowie alle akzeptierten Domänen.

noteAnmerkung:
Wenn Sie die Option IncludeAcceptedDomains verwenden, werden im Parameter DomainName angegebene akzeptierte Domänen nicht dupliziert.

IncludeAutoDiscover

Optional

System.Management.Automation.SwitchParameter

Die Option IncludeAutoDiscover gibt an, ob ein Subject Alternative Name mit dem Präfix autodiscover für jede akzeptierte Domäne in der Exchange-Organisation hinzugefügt wird. Wenn zur Organisation beispielsweise die akzeptierten Domänen woodgrovebank.com und woodgrovebank.co.uk zählen, werden durch die Verwendung dieser Option folgende Subject Alternative Names hinzugefügt:

  • autodiscover.woodgrovebank.com

  • autodiscover.woodgrovebank.co.uk

Die Option kann nur auf Clientzugriffsservern verwendet werden.

Das Präfix autodiscover wird nicht hinzugefügt, wenn der Domänenname das Präfix bereits enthält.

IncludeServerFQDN

Optional

System.Management.Automation.SwitchParameter

Die Option IncludeServerFQDN gibt an, ob der FQDN des Servers in das Feld für den Subject Alternative Name der neuen Zertifikatanforderung oder des selbstsignierten Zertifikats eingefügt werden soll.

noteAnmerkung:
Wenn Sie die Option IncludeServerFQDN verwenden, werden im Parameter DomainName angegebene FQDNs nicht dupliziert.

IncludeServerNetBIOSName

Optional

System.Management.Automation.SwitchParameter

Die Option IncludeServerNetBIOSName gibt an, ob der NetBIOS-Name des Servers in das Feld für den Subject Alternative Name der neuen Zertifikatanforderung oder des selbstsignierten Zertifikats eingefügt werden soll.

noteAnmerkung:
Wenn Sie die Option IncludeServerNetBIOSName verwenden, werden im Parameter DomainName angegebene NetBIOS-Namen nicht dupliziert.

Instance

Optional

System.Security.Cryptography.X509Certificates.X509Certificate2

Der Parameter Instance wird nicht mehr verwendet und nicht mehr unterstützt.

KeySize

Optional

System.Int32

Der Parameter KeySize gibt die Größe (in Bit) des öffentlichen RSA-Schlüssels an, der dem zu erstellenden Zertifikat zugeordnet ist.

Zulässige Werte sind 4096, 2048 und 1024. Der Standardwert ist 2048.

PrivateKeyExportable

Optional

System.Boolean

Der Parameter PrivateKeyExportable gibt an, ob das neue Zertifikat über einen exportierbaren privaten Schlüssel verfügt.

Standardmäßig lassen alle mit diesem Cmdlet erstellten Zertifikatanforderungen und Zertifikate das Exportieren des privaten Schlüssels nicht zu.

importantWichtig:
Wenn Sie den privaten Schlüssel nicht exportieren können, kann das Zertifikat weder exportiert noch importiert werden.

Damit der private Schlüssel beim Exportieren des Zertifikats exportiert werden kann, legen Sie diesen Parameter auf $true fest.

RequestFile

Optional

System.String

Der Parameter RequestFile gibt den Namen der Datei an, die die Zertifikatanforderung enthält. Dieser Parameter wird mit den Parametern BinaryEncoded und GenerateRequest verwendet.

Server

Optional

Microsoft.Exchange.Configuration.Tasks.ServerIdParameter

Der Parameter Server gibt den Namen des Servers an, für den Sie das neue Zertifikat erstellen möchten. Wenn Sie den Parameter nicht angeben, wird das Zertifikat bzw. die Zertifikatanforderung für den Exchange-Server generiert, auf dem der Befehl ausgeführt wird.

Services

Optional

Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices

Der Parameter Services gibt die Dienste an, die das sich ergebende Zertifikat verwenden sollen.

importantWichtig:
Sie können Dienste nur dann mit dem Cmdlet New-ExchangeCertificate angeben, wenn Sie ein selbstsigniertes Zertifikat generieren. Wenn Sie mit der Option GenerateRequest eine Zertifikatanforderung für eine Zertifizierungsstelle erstellen, müssen Sie das Zertifikat installieren, nachdem es von der Zertifizierungsstelle ausgestellt wurde, und anschließend mithilfe des Cmdlets Enable-ExchangeCertificate Dienste angeben.

Gültige Werte umfassen eine Kombination aus Folgendem:

  • Federation

  • IIS

  • IMAP

  • None

  • POP

  • SMTP

  • UM

  • UMCallRouter

Die Standardwerte sind IMAP,POP und SMTP.

SubjectKeyIdentifier

Optional

System.String

Der Parameter SubjectKeyIdentifier gibt die Schlüssel-ID des Antragstellers für das Zertifikat an, die normalerweise nicht erforderlich ist.

SubjectName

Optional

System.Security.Cryptography.X509Certificates.X500DistinguishedName

Der Parameter SubjectName gibt den Antragstellernamen des sich ergebenden Zertifikats an. Ein Antragstellername ist ein X.500-Distinguished Name, der aus mindestens einem relativen Distinguished Name (auch als "RDN" bezeichnet) besteht.

Der Antragstellername eines Zertifikats ist das Feld, das von DNS-gestützten Diensten (Domain Name System) verwendet wird. Hiermit wird ein Zertifikat an einen bestimmten Server- oder Domänennamen gebunden.

Wenn der Parameter SubjectName nicht angegeben wird, wird der Hostname des Servers, auf dem das Cmdlet ausgeführt wird, als allgemeiner Name (Common Name, CN) im sich ergebenden Zertifikat verwendet. So wird z. B. für den Server "EXMBX01" für den Parameter SubjectName der Wert CN=EXMBX01 verwendet.

WhatIf

Optional

System.Management.Automation.SwitchParameter

Die Option WhatIf weist den Befehl an, die für das Objekt ausgeführten Aktionen zu simulieren. Durch Verwendung der Option WhatIf können Sie eine Vorschau der Änderungen anzeigen, ohne diese Änderungen wirklich übernehmen zu müssen. Für die Option WhatIf muss kein Wert angegeben werden.

Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.

Rückgabetypen bzw. Ausgabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.