Informationen zum selbstsignierten Zertifikat in Exchange 2007
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2009-12-23
Ein digitales Zertifikat ist eine elektronische Datei, die wie ein Onlinekennwort funktioniert, um die Identität eines Benutzers oder eines Computers zu überprüfen. Es wird außerdem zum Erstellen eines SSL-verschlüsselten Kanals verwendet, der für die Kommunikation zwischen einem Server mit Microsoft Exchange und einem Clientcomputer oder Gerät verwendet wird. Ein digitales Zertifikat ist eine Bescheinigung von einer Zertifizierungsstelle (Certification Authority, CA), die die Identität des Zertifikatinhabers bestätigt und verschlüsselte Kommunikation ermöglicht.
Digitale Zertifikate bewirken Folgendes:
Sie bestätigen, dass ihre Inhaber – Personen, Websites und sogar Netzwerkressourcen wie z. B. Router – wirklich das sind, was sie vorgeben zu sein.
Sie schützen online ausgetauschte Daten vor Diebstahl und Manipulation.
Digitale Zertifikate können von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters oder einer Microsoft Windows-PKI (Public-Key-Infrastruktur) unter Verwendung von Zertifikatsdiensten ausgestellt werden oder selbstsigniert sein. Wenn Sie die Serverfunktion ClientAccess oder UnifiedMessaging mit Microsoft Exchange Server 2007 installieren, wird ein selbstsigniertes Zertifikat installiert, wenn noch kein digitales Zertifikat vorhanden ist. Dieses Dokument bietet einen Überblick über selbstsignierte Zertifikate in Exchange 2007 sowie deren Verwendung.
Weitere Informationen zur Exchange 2007-Clientzugriffsserver-Sicherheit finden Sie unter Informationen zu SSL für Clientzugriffsserver.
Übersicht über das selbstsignierte Zertifikat
Wenn Sie Exchange 2007 mit der Serverfunktion ClientAccess installieren, wird ein selbstsigniertes Zertifikat erstellt. Das selbstsignierte Zertifikate dient zum Sichern der Kommunikation zwischen Servercomputern mit Exchange 2007 innerhalb einer Organisation und stellt außerdem eine temporäre Methode zum Verschlüsseln der Clientkommunikation zur Verfügung, bis ein alternatives Zertifikat bezogen und installiert wird. Das selbstsignierte Zertifikat besitzt zwei Einträge für den alternativen Antragsteller: einen für den NetBIOS-Namen des Clientzugriffsservers und einen für den vollqualifizierten Domänennamen (FQDN) des Clientzugriffsservers. Zwar kann das selbstsignierte Zertifikat zum Verschlüsseln der Kommunikation zwischen einem Clientzugriffsserver und anderen Exchange Server 2007-Serverfunktionen verwendet werden, es wird jedoch nicht für die Verwendung mit Clientanwendungen und Geräten empfohlen. Aufgrund der Einschränkungen eines selbstsignierten Zertifikats wird empfohlen, das selbstsignierte Zertifikat durch das Zertifikat eines vertrauenswürdigen Drittanbieters oder durch ein Zertifikat zu ersetzen, das von einer Windows-PKI signiert ist.
Hinweis
Ein selbstsigniertes Zertifikat wird für jede Exchange 2007-Serverfunktion mit Ausnahme der Serverfunktion Mailbox installiert.
Einschränkungen des selbstsignierten Zertifikats
Die folgende Liste beschreibt einige Einschränkungen des selbstsignierten Zertifikats.
Ablaufdatum: Das selbstsignierte Zertifikat ist ab Erstellungsdatum in früheren Versionen von Exchange 2007 als Exchange 2007 Service Pack 2 (SP2) ein Jahr lang gültig. Selbstsignierte Zertifikate sind ab Erstellungsdatum in Exchange 2007 SP2 oder höher fünf Jahre lang gültig. Wenn das Zertifikat abläuft, muss manuell ein neues selbstsigniertes Zertifikat mithilfe des Cmdlets New-ExchangeCertificate generiert werden.
Outlook Anywhere: Das selbstsignierte Zertifikat kann nicht mit Outlook Anywhere verwendet werden. Es wird empfohlen, ein Zertifikat von einer Windows-PKI oder einem vertrauenswürdigen kommerziellen Drittanbieter zu beziehen, wenn Sie Outlook Anywhere verwenden.
Exchange ActiveSync: Das selbstsignierte Zertifikat kann nicht zum Verschlüsseln der Kommunikation zwischen Microsoft Exchange ActiveSync-Geräten und dem Servercomputer mit Exchange verwendet werden. Es wird empfohlen, ein Zertifikat von einer Windows-PKI oder einem vertrauenswürdigen kommerziellen Drittanbieter für die Verwendung mit Exchange ActiveSync zu beziehen.
Outlook Web Access: Benutzern von Microsoft Outlook Web Access wird eine Eingabeaufforderung angezeigt, die sie informiert, dass das zum Sichern von Outlook Web Access verwendete Zertifikat nicht vertrauenswürdig ist. Dieser Fehler tritt auf, weil das Zertifikat nicht durch eine Stelle signiert ist, der der Client vertraut. Benutzer können diese Eingabeaufforderung ignorieren und das selbstsignierte Zertifikat für Outlook Web Access verwenden. Es wird jedoch empfohlen, ein Zertifikat von einer Windows-PKI oder einem vertrauenswürdigen kommerziellen Drittanbieter zu beziehen.
Zertifikatablauf
Das selbstsignierte Zertifikat ist nach der Installation der Serverfunktion ClientAccess ein Jahr lang und ab Erstellungsdatum in früheren Versionen von Exchange 2007 als Exchange 2007 SP2 ein Jahr lang gültig. Selbstsignierte Zertifikate sind ab Erstellungsdatum in Exchange 2007 SP2 oder höher fünf Jahre lang gültig. Die internen Komponenten, die die selbstsignierten Standardzertifikate verwenden, funktionieren auch nach Ablauf des selbstsignierten Zertifikats weiterhin. Wenn das selbstsignierte Zertifikat abgelaufen ist, werden jedoch folgende Ereignisse in der Ereignisanzeige protokolliert:
Ereignistyp: Fehler |
Ereignisquelle: MSExchangeTransport |
Ereigniskategorie: TransportService |
Ereignis-ID: 12014 |
Datum: Datum |
Uhrzeit: Uhrzeit |
Benutzer: N/V |
Computer: Servername |
Beschreibung: Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen 'Domänenname' im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für keinen Connector mit einem FQDN-Parameter von 'FQDN' unterstützt werden. Wenn der FQDN des Connectors nicht angegeben ist, wird der des Computers verwendet. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn dieses Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, um sicherzustellen, dass der Microsoft Exchange-Transportdienst Zugriff auf den Zertifikatschlüssel hat. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter https://go.microsoft.com/fwlink/?LinkID=34258. |
Ereignistyp: Warnung |
Ereignisquelle: MSExchangeTransport |
Ereigniskategorie: TransportService |
Ereignis-ID: 12015 |
Datum: Datum |
Uhrzeit: Uhrzeit |
Benutzer: N/V |
Computer: Servername |
Beschreibung: Ein internes Transportzertifikat ist abgelaufen. Fingerabdruck: Fingerabdruck_Wert Weitere Informationen finden Sie im Hilfe- und Supportcenter unter https://go.microsoft.com/fwlink/?LinkID=34258. |
Als optimale Methode wird das Erneuern der selbstsignierten Zertifikate vor ihrem Ablauf empfohlen. Sie können die Exchange-Verwaltungsshell zum Erneuern des selbstsignierten Zertifikats verwenden, indem Sie das Zertifikat klonen. Zum Klonen des Zertifikats verwenden Sie zuerst das Cmdlet Get-ExchangeCertificate, um den Fingerabdruck des aktuellen Standardzertifikats für Ihre Domäne abzurufen.
Hinweis
Die folgenden Cmdlets müssen auf dem lokalen Exchange 2007-Clientzugriffsserver ausgeführt werden. Sie können nicht remote ausgeführt werden.
Get-ExchangeCertificate -DomainName CAS01.contoso.com
Wählen Sie unter Dienste aus der Liste der Zertifikate ein Zertifikat aus, das den Buchstaben "W" enthält. Wählen Sie z. B. IP.WS aus. Der Buchstabe "W" zeigt an, dass das Zertifikat IIS zugeordnet ist.
Führen Sie anschließend das folgende Cmdlet aus, um das Zertifikat zu klonen:
Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate
Das neue geklonte Zertifikat wird mit einem neuen Ablaufdatum gestempelt, das ein Jahr nach dem Datum liegt, an dem Sie das Cmdlet ausgeführt haben.
Umstände, unter denen das selbstsignierte Zertifikat verwendet werden kann
Das selbstsignierte Zertifikat kann mit bestimmten Protokollen und in bestimmten Situationen zum Verschlüsseln der Kommunikation verwendet werden. Mit einer Domäne verbundene Outlook-Clients können das selbstsignierte Zertifikat zum Verschlüsseln von E-Mail-Nachrichten sowie zum Verschlüsseln des Kommunikationskanals zwischen dem Client und dem Servercomputer mit Exchange verwenden. Wie bereits zuvor erwähnt, können Benutzer von Outlook Web Access das selbstsignierte Zertifikat ebenfalls zum Verschlüsseln der Kommunikationskanäle verwenden. Sie können das selbstsignierte Zertifikat auch zum Verschlüsseln der Kommunikation zwischen Clientzugriffsservern an verschiedenen Standorten des Active Directory-Verzeichnisdiensts verwenden. Unter diesen Umständen (auch als CAS-CAS-Proxyfunktion bezeichnet) ist eine Registrierungsänderung erforderlich, um eine ordnungsgemäße Funktionsweise zu gewährleisten.
Verwenden des selbstsignierten Zertifikats für mit einer Domäne verbundene Outlook 2007-Clients
Das selbstsignierte Zertifikat funktioniert ohne zusätzliche Konfiguration für mit einer Domäne verbundene Microsoft Office Outlook 2007-Clients. Diese Clients können Verbindungen herstellen, ohne Sicherheitswarnungen zu erhalten, weil die von ihnen zum Herstellen der Verbindung mit dem AutoErkennungsdienst verwendeten URLs alle auf den internen FQDN des Clientzugriffsservers verweisen. Das selbstsignierte Zertifikat besitzt einen allgemeinen Namen, der dem NetBIOS-Namen des Servers zugeordnet ist. Das selbstsignierte Zertifikat enthält außerdem den FQDN des Servers als zusätzlichen DNS-Namen, der im Feld Alternativer Antragstellername des Zertifikats gespeichert ist. Auf diese Weise können mit einer Domäne verbundene Clients erfolgreich eine Verbindung mit dem AutoErkennungsdienst herstellen, ohne Zertifikatwarnungen zu erhalten, weil das Zertifikat nicht abgelaufen ist und der FQDN des Servers, mit dem Sie eine Verbindung herstellen, im Feld Alternativer Antragstellername des Zertifikats gespeichert ist. Der Client ist zwar nicht in der Lage, das selbstsignierte Zertifikat bis zum vertrauenswürdigen Stamm zu überprüfen – dieser Überprüfungsfehler ist jedoch zulässig, wenn mit einer Domäne verbundene Clients Verbindungen mit dem AutoErkennungsdienst mithilfe des selbstsignierten Zertifikats herstellen. Die langfristige Verwendung dieses selbstsignierten Zertifikats wird jedoch nicht empfohlen, weil es hauptsächlich dazu dienen soll, die Dringlichkeit des Bezugs eines richtigen Zertifikats zu verringern, damit Outlook 2007-Clients sofort mit der Verwendung der Exchange 2007-Features beginnen können.
Verwenden des selbstsignierten Zertifikats mit Proxyfunktionen
Es müssen mehrere Schritte ausgeführt werden, bevor Sie das selbstsignierte Zertifikat erfolgreich zum Verschlüsseln der Kommunikation zwischen Clients und Servern in einem Proxyszenario verwenden können. Weitere Informationen zu Proxyfunktionen finden Sie unter Informationen zur Verwendung als Proxy und Umleitung.
Sie müssen die Registrierung ändern, um die Verwendung selbstsignierter Zertifikate mit Proxyfunktionen zu unterstützen. Ihren Clients wird eine Eingabeaufforderung angezeigt, wenn sie eine Verbindung mit dem Exchange 2007-Clientzugriffsserver herstellen, weil das selbstsignierte Zertifikat von den meisten Clientanwendungen (etwa von Exchange ActiveSync und Microsoft Office Outlook 2007) als ungültig betrachtet wird. Sowohl Exchange ActiveSync als auch Outlook Web Access unterstützen Proxyweiterleitung von einem Clientzugriffsserver auf einen anderen. Damit die Proxyweiterleitung erfolgreich ist, wenn ein selbstsigniertes Zertifikat verwendet wird, müssen Sie die folgenden Registrierungsschlüssel auf dem mit dem Internet verbundenen Clientzugriffsserver konfigurieren:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1
Diese Registrierungsschlüssel ermöglichen es dem mit dem Internet verbundenen Clientzugriffsserver, eine Verbindung mit einem Clientzugriffsserver herzustellen, der nicht mit dem Internet verbunden ist, indem ein selbstsigniertes Zertifikat verwendet wird, das auf dem Clientzugriffsserver ohne Internetverbindung installiert ist. Wenn der mit dem Internet verbundene Clientzugriffsserver ein selbstsigniertes Zertifikat für die Clientkommunikation verwendet, gelten alle zuvor genannten Einschränkungen.
UNRESOLVED_TOKEN_VAL(exRegistry)
Umstände, unter denen das selbstsignierte Zertifikat nicht verwendet werden kann
Zwar wird die Verwendung des selbstsignierten Zertifikats für mit einer Domäne verbundene Microsoft Office Outlook 2007-Clients und Outlook Web Access unterstützt, die langfristige Verwendung des selbstsignierten Zertifikats für andere Zwecke als die Verschlüsselung der Kommunikation zwischen Servercomputern mit Exchange 2007 innerhalb Ihrer Organisation wird jedoch nicht empfohlen. Es wird empfohlen, für die Unterstützung einer Vielzahl der (oder aller) Clientzugriffsserver-Features wie z. B. Exchange ActiveSync, Outlook Web Access und Outlook Anywhere ein Zertifikat von einer Windows-PKI oder einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle zu beziehen und sicherzustellen, dass das Zertifikat in den vertrauenswürdigen Stammspeicher auf jedem Computer oder Gerät importiert wird.
Wichtig
Die Verwendung des selbstsigniertes Zertifikats mit Outlook Anywhere oder Exchange ActiveSync wird nicht unterstützt.
Weitere Informationen
Weitere Informationen zu SSL, Zertifikaten und Exchange 2007 finden Sie unter den folgenden Themen: