Anfordern eines Serverzertifikats von einer Zertifizierungsstelle

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2012-10-03

Sie können ein Serverzertifikat von einer Zertifizierungsstelle anfordern. Dies ist ein Schritt bei der Konfiguration von Secure Sockets Layer (SSL) oder Transport Layer Security (TLS). Sie können Serverzertifikate bei einer Drittanbieter-CA erwerben. Für eine Zertifizierungsstelle eines Drittanbieters müssen Sie möglicherweise eine Identifizierung bereitstellen, bevor ein Zertifikat ausgestellt werden kann. Sie können auch eigene Serverzertifikate ausstellen, indem Sie eine Onlinezertifizierungsstelle wie die Microsoft-Zertifikatdienste verwenden.

Hinweis

CNG-Zertifikate (Cryptography Next Generation) werden in MicrosoftExchange Server 2010 nicht unterstützt.

Weitere Informationen über Serverzertifikate finden Sie in der Dokumentation von Windows Server 2003 und IIS (Internetinformationsdienste).

Hinweis

MicrosoftExchange Server 2010 enthält ein selbstsigniertes SSL-Standardzertifikat. Sie können dieses Zertifikat durch ein Drittanbieterzertifikat einer Zertifizierungsstelle ersetzen. Dazu müssen Sie zuerst das selbstsignierte Zertifikat löschen. Weitere Informationen zum Ersetzen des selbstsignierten Zertifikats finden Sie unter Installieren eines SSL-Zertifikats auf einem Clientzugriffsserver.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit SSL gibt? Weitere Informationen finden Sie hier: Verwalten von SSL für einen Clientzugriffsserver.

Voraussetzungen

Wichtig

Um eine optimale Sicherheit zu gewährleisten, sollten Sie bei der Anmeldung an Ihrem Computer ein Konto verwenden, das nicht der Gruppe Administratoren angehört, und anschließend den Befehl runas verwenden, um den IIS-Manager als Administrator auszuführen. Geben Sie an der Eingabeaufforderung runas /user:Name_des_Administratorkontos "mmc systemroot\system32\inetsrv\iis.msc" ein.

Anfordern eines Serverzertifikat von einer Zertifizierungsstelle mithilfe der Shell

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Sicherheitseinstellungen für den Clientzugriffsserver" im Thema Clientzugriffsberechtigungen

Im nachfolgenden Codebeispiel wird die Zertifikatanforderung im Base64-Format an die Befehlszeilenkonsole ausgegeben. Sie müssen die Zertifikatanforderung an eine Zertifizierungsstelle innerhalb der Organisation, eine vertrauenswürdige Zertifizierungsstelle außerhalb der Organisation oder eine gewerbliche Zertifizierungsstelle senden. Zu diesem Zweck können Sie die Ausgabe der Zertifikatanforderung in eine E-Mail-Nachricht oder in das entsprechende Feld auf der Webseite der Zertifizierungsstelle für Zertifikatanforderungen einfügen. Sie können die Zertifikatanforderung auch mit einem Text-Editor wie dem Windows-Editor in einer Datei speichern.

Dem sich ergebenden Zertifikat werden die folgenden Attribute zugeordnet:

  • Antragstellername: c=<ES>,o=<Woodgrove Bank>,cn=mail1.woodgrovebank.com

  • Alternative Antragstellernamen: "woodgrovebank.com" und "example.com"

  • Ein exportierbarer privater Schlüssel

New-ExchangeCertificate -GenerateRequest -SubjectName "c=US, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -PrivateKeyExportable

Verwenden Sie die von der gewählten Zertifizierungsstelle angegebenen Verfahren, um die Zertifikatanforderung an die Zertifizierungsstelle zu senden.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.