Konfigurieren von SSL-Zertifikaten zur Verwendung mehrerer Hostnamen für Clientzugriffsserver

Artikel
05/13/2016

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2012-07-23

Mit der Shell können Sie SSL-Zertifikate (Secure Sockets Layer) für die Verwendung mehrerer Hostnamen konfigurieren.

Beim Bereitstellen der Microsoft Exchange Server 2010-Clientzugriffsserver müssen Sie sicherstellen, dass alle Clients, z. B. Microsoft Office Outlook Web App und Office Outlook 2007, Verbindungen mit den Diensten mithilfe einer verschlüsselten Sitzung herstellen können, ohne eine Fehlermeldung zu erhalten, die besagt, dass das Zertifikat nicht vertrauenswürdig ist.

Mithilfe der Shell können Sie eine Zertifikatsanforderung erstellen, die alle DNS-Hostnamen der Clientzugriffsserver enthält. Anschließend können Sie die Benutzer für das Herstellen von Verbindungen mit dem Zertifikat für Dienste wie Outlook Anywhere, AutoErmittlung, POP3 und IMAP4 oder Unified Messaging aktivieren, die im alternativen Namensattribut aufgelistet sind. So können Ihre Benutzer beispielsweise imstande sein, Verbindungen mit Ihren Exchange-Diensten über die in den folgenden Beispielen aufgeführten Namen herzustellen:

https://CAS01/owa
https://CAS01.FQDN.Name/owa
https://CASIntranetName/owa
https://autodiscover.E-Mail-Domäne.com

Statt mehrere Zertifikate vorschreiben und die Konfiguration mehrerer IP-Adressen und IIS-Websites (Internet Information Services) für jede Kombination aus IP-Port und Zertifikat verwalten zu müssen, können Sie ein einzelnes Zertifikat erstellen, das den Clients die erfolgreiche Verbindung mit jedem Hostnamen mithilfe von SSL oder TLS (Transport Layer Security) ermöglicht.

Sie können ein einzelnes Zertifikat erstellen, indem Sie der Zertifikateigenschaft Subject Alternative Name in der Zertifikatsanforderung alle möglichen DNS-Namenswerte hinzufügen. Eine auf den Windows-Zertifikatdiensten basierende Zertifizierungsstelle muss ein Zertifikat für eine derartige Anforderung erstellen.

Hinweis

Drittanbieter- oder internetbasierte Zertifizierungsstellen geben Zertifikate nur für DNS-Namen aus, für deren Verwendung Sie autorisiert sind. Aus diesem Grund sind Intranet-DNS-Namen wahrscheinlich unzulässig.

Gehen Sie wie folgt vor, um Ihre SSL-Zertifikate für die Verwendung mehrerer Hostnamen von Clientzugriffsservern zu konfigurieren:

Verwenden Sie das Cmdlet New-ExchangeCertificate, um eine Zertifikatsanforderungsdatei zu erstellen.
Senden Sie diese Datei an eine Zertifizierungsstelle für Windows-Zertifikatdienste, und verwenden Sie die Webservervorlage auf der Seite Zertifizierungsstelle. Dieses Verfahren führt zu einer CER-Datei, die auf dem Clientzugriffsserver importiert werden kann.
Verwenden Sie das Cmdlet Get-ExchangeCertificate, um den Fingerabdruck für das Zertifikat zu bestimmen.
Nachdem Sie das Zertifikat importiert haben, können Sie es IIS, IMAP4 und POP3 mithilfe des Cmdlets Enable-ExchangeCertificate zuweisen.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit SSL gibt? Weitere Informationen finden Sie hier: Verwalten von SSL für einen Clientzugriffsserver.

Voraussetzungen

Sie haben sich mit einem Konto am Computer angemeldet, das nicht der Gruppe "Administratoren" angehört, und anschließend den Befehl runas aufgerufen, um den IIS-Manager als Administrator auszuführen. Dies ist eine bewährte Sicherheitsmethode. Geben Sie hierzu an der Eingabeaufforderung runas /user:Name_des_administrativen_Kontos"mmc systemroot\system32\inetsrv\iis.msc" ein.
Sie haben TLS-Funktionen und die zugehörige Terminologie in Exchange 2010 gelesen. Darin sind Informationen zu den vielen Variablen und Faktoren enthalten, die Sie beim Konfigurieren von Zertifikaten für SSL- oder TLS-Dienste berücksichtigen müssen. Darüber hinaus wird beschrieben, welche Auswirkungen diese Variablen und Faktoren auf die jeweilige Gesamtkonfiguration haben können.

Verwenden der Shell zum Erstellen einer Zertifikatsanforderungsdatei

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Sicherheitseinstellungen für den Clientzugriffsserver" im Thema Clientzugriffsberechtigungen.

In diesem Beispiel wird eine Textdatei erstellt, die eine Zertifikatsanforderung im PKCS#10-Format enthält.

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

Verwenden der Shell zum Importieren eines Zertifikats

In diesem Beispiel wird ein zuvor abgerufenes Zertifikat importiert.

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Verwenden der Shell zum Ermitteln des Fingerabdrucks des Zertifikats

In diesem Beispiel wird der Fingerabdruck eines Zertifikats ermittelt, das dem Hostnamen von CAS01 entspricht.

Get-ExchangeCertificate -DomainName "CAS01"

Hinweis

In diesem Beispiel werden mehrere Zertifikate zurückgegeben, wenn mehrere Zertifikate vorhanden sind, die dem angegebenen Hostnamen entsprechen. Stellen Sie daher sicher, dass Sie für die Anforderung den Fingerabdruck des richtigen Zertifikats auswählen.

Verwenden der Shell zum Zuweisen des Zertifikats an IIS, POP3 und IMAP4

In diesem Beispiel wird IIS, POP3 und IMAP4 das Zertifikat zugewiesen.

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

In diesem Beispiel wird das Zertifikat einem Server zugewiesen, der wiederum allen auf dem Exchange-Server ausgeführten Diensten das Zertifikat zuweist.

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Weitere Informationen zur Syntax und zu den Parametern für die Cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate und New-ExchangeCertificate finden Sie unter Globale Cmdlets.