Import or install a certificate on an Exchange server

Zum Aktivieren der Verschlüsselung für einen oder mehrere Exchange-Dienste, muss der Exchange-Server ein Zertifikat verwenden. SMTP-Kommunikation zwischen internen Exchange-Servern wird durch das standardmäßige selbstsignierte Zertifikat verschlüsselt, das auf dem Exchange-Server installiert ist. Zum Verschlüsseln der Kommunikation mit internen oder externen Clients, Servern oder Diensten möchten Sie wahrscheinlich ein Zertifikat verwenden, das automatisch von allen Clients, Diensten und Servern, die mit Ihrer Exchange-Organisation eine Verbindung herstellen, als vertrauenswürdig eingestuft wird. Weitere Informationen finden Sie unter Zertifikatanforderungen für Exchange-Dienste.

Sie können Zertifikate auf Exchange-Servern in der Exchange-Verwaltungskonsole (EAC) oder in Exchange-Verwaltungsshell importieren (installieren).

Dies sind die Typen von Zertifikatsdateien, die Sie auf einem Exchange-Server importieren können:

• PKCS #12-Zertifikatdateien: Hierbei handelt es sich um binäre Zertifikatdateien, die die Dateinamenerweiterungen .cer, CRT, .der, .p12 oder PFX aufweisen und ein Kennwort erfordern, wenn die Datei den privaten Schlüssel oder die Vertrauenskette enthält. Beispiele für diese Dateitypen sind:

  • Selbstsignierte Zertifikate, die von anderen Exchange-Servern mithilfe des EAC oder export-ExchangeCertificate mit dem Parameterwert$truePrivateKeyExportable exportiert wurden. Weitere Informationen finden Sie unter Exportieren eines Zertifikats von einem Exchange-Server.

  • Zertifikate, die von einer Zertifizierungsstelle (einer internen Zertifizierungsstelle wie Active Directory-Zertifikatsdienste oder einer gewerblichen Zertifizierungsstelle) ausgestellt wurden.

  • Zertifikate, die von anderen Servern exportiert wurden (z. B. Skype for Business Server).

• PKCS #7-Zertifikatdateien: Hierbei handelt es sich um Textzertifikatdateien mit den Dateinamenerweiterungen .p7b oder .p7c. Diese Dateien enthalten den Text und -----BEGIN CERTIFICATE----------END CERTIFICATE----- oder -----BEGIN PKCS7----- und -----END PKCS7-----. Eine Zertifizierungsstelle kann eine Zertifikatskettendatei enthalten, die zusammen mit der eigentlichen binären Zertifikatsdatei installiert werden muss.

Was sollten Sie wissen, bevor Sie beginnen?

• Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.

• Im EAC müssen Sie die Zertifikatdatei aus einem UNC-Pfad (\\<Server>\<Share>\ oder \\<LocalServerName>\c$\) importieren. In der Exchange-Verwaltungsshell können Sie einen lokalen Pfad angeben.

• Sie können in der Exchange-Verwaltungskonsole die Zertifikatsdatei auf mehreren Exchange-Servern gleichzeitig importieren (Schritt 4 im Verfahren).

• Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

• Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste" im Thema Berechtigungen für Clients und mobile Geräte.

• Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Importieren eines Zertifikats auf einem oder mehreren Exchange-Servern mithilfe der Exchange-Verwaltungskonsole

1. Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.

2. Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, klicken Sie auf Weitere Optionen, und wählen Sie Exchange-Zertifikat importieren aus.

3. Der Assistent Exchange-Zertifikat importieren wird geöffnet. Geben Sie auf der Seite Dieser Assistent importiert ein Zertifikat aus einer Datei die folgenden Informationen ein:

   • Datei, aus der importiert werden soll: Geben Sie den UNC-Pfad und dateinamen der Zertifikatdatei ein. Beispiel: \\FileServer01\Data\Fabrikam.cer

   • Kennwort: Wenn die Zertifikatdatei den privaten Schlüssel oder die Vertrauenskette enthält, wird die Datei durch ein Kennwort geschützt. Geben Sie hier das Kennwort ein.

   Wenn Sie fertig sind, klicken Sie auf Weiter.

4. Klicken Sie auf der Seite Geben Sie die Server an, auf die Sie dieses Zertifikat anwenden möchten auf

   Wählen Sie auf der Seite Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, und klicken Sie auf Hinzufügen - >. Wiederholen Sie diesen Schritt so oft wie nötig. Wenn Sie mit der Auswahl der Server fertig sind, klicken Sie auf OK.

   Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen. Informationen zu nächsten Schritten finden Sie im Abschnitt Nächste Schritte.

Importieren eines Zertifikats auf einem Exchange-Server mithilfe der Exchange-Verwaltungsshell

Verwenden Sie die folgende Syntax, um eine Zertifikatdatei zu importieren:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Sie verwenden diese Syntax mit den folgenden Arten von Zertifikatdateien:

• Binäre Zertifikatdateien (PKCS #12-Dateien mit den Dateinamenerweiterungen .cer, CRT, DER, P12 oder PFX).
• Kette von Zertifikatdateien (PKCS #7-Textdateien mit den Dateinamenerweiterungen .p7b oder .p7c).

In diesem Beispiel wird die Zertifikatdatei \\FileServer01\Data\Fabrikam.pfx importiert, die durch das Kennwort P@ssw0rd1 auf dem lokalen Exchange-Server geschützt ist. Sie werden aufgefordert, das Kennwort einzugeben.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)

In diesem Beispiel wird die Kette der Zertifikatdatei \\FileServer01\Data\Chain of Certificates.p7bimportiert.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Import-ExchangeCertificate.

Hinweise:

• Sie müssen dieses Verfahren auf jedem Exchange-Server wiederholen, auf dem Sie das Zertifikat importieren möchten (führen Sie den Befehl auf dem Server aus, oder verwenden Sie den Server-Parameter ).
• Der Parameter FileData akzeptiert lokale Pfade, wenn sich die Zertifikatdatei auf dem Exchange-Server befindet, auf dem Sie den Befehl ausführen, und dies ist derselbe Server, auf dem Sie das Zertifikat importieren möchten. Verwenden Sie andernfalls einen UNC-Pfad.
• Wenn Sie das Zertifikat von dem Server exportieren möchten, auf dem Sie es importieren, müssen Sie den Parameter PrivateKeyExportable mit dem Wert $trueverwenden.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Verwenden Sie eine der folgenden Vorgehensweisen, um sicherzustellen, dass Sie ein Zertifikat erfolgreich auf einem Exchange-Server importiert (installiert) haben:

• Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie das Zertifikat installiert haben. Das Zertifikat sollte in der Liste der Zertifikate mit dem Status-Wert Gültig aufgeführt sein.

• Führen sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie das Zertifikat gespeichert haben, den folgenden Befehl aus:

  Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
  

Nächste Schritte

Nachdem Sie das Zertifikat auf dem Server installiert haben, müssen Sie einem oder mehreren Exchange-Diensten das Zertifikat zuweisen, damit der Exchange-Server das Zertifikat für die Verschlüsselung verwenden kann. Weitere Informationen finden Sie unter Zuweisen von Zertifikaten zu Exchange Server-Diensten.