Erstellen einer Exchange Server Zertifikatanforderung für eine Zertifizierungsstelle

Das Erstellen einer Zertifikatanforderung ist der erste Schritt bei der Installation eines neuen Zertifikats auf einem Exchange-Server, um die TLS-Verschlüsselung (Transport Layer Security) für einen oder mehrere Exchange-Dienste zu konfigurieren. Mit einer Zertifikatanforderung (auch Zertifikatsignieranforderung genannt) rufen Sie ein Zertifikat von einer Zertifizierungsstelle ab. Die Verfahren für das Abrufen von Zertifikaten von einer internen Zertifizierungsstelle (z. B. Active Directory-Zertifikatdienste) oder von einer kommerziellen Zertifizierungsstelle sind identisch. Nachdem Sie die Zertifikatanforderung erstellt haben, senden Sie die Ergebnisse an die Zertifizierungsstelle, und die Zertifizierungsstelle verwendet die Informationen, um das tatsächliche Zertifikat auszugeben, das Sie später installieren.

Sie können Zertifikatanforderungen im Exchange Admin Center (EAC) oder in der Exchange-Verwaltungsshell erstellen. Der Assistent für neue Exchange-Zertifikate im Exchange-Verwaltungskonsole kann Sie bei der Auswahl der Hostnamen unterstützen, die im Zertifikat erforderlich sind.

Was sollten Sie wissen, bevor Sie beginnen?

• Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie im Artikel Berechtigungen für Clients und mobile Geräte im Eintrag "Sicherheit für Clientzugriffsdienste".

• Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten zum Abschließen der neuen Zertifikatanforderung. Es ist jedoch mehr Zeit erforderlich, bevor die Anforderung zur Ausstellung eines Zertifikats führt. Weitere Informationen finden Sie unter: Nächste Schritte.

• Sie müssen es sorgfältig planen, welchen Zertifikattyp sie auswählen, und welche Hostnamen im Zertifikat erforderlich sind. Weitere Informationen finden Sie unter Digitale Zertifikate und Verschlüsselung in Exchange Server.

• Stellen Sie sicher, dass die Zertifikatanforderung die Anforderungen der Zertifizierungsstelle erfüllt. Exchange generiert eine PKCS #10-Anforderungsdatei (.req), die Base64-Codierung (Standard) oder Distinguished Encoding Rules (DER) mit einem öffentlichen RSA-Schlüssel von 1024, 2048 (Standard) oder 4096 Bit verwendet. Codierungs- und Öffentliche Schlüsseloptionen sind nur in der Exchange-Verwaltungsshell verfügbar. Weitere Informationen finden Sie unter New-ExchangeCertificate.

• Im EAC müssen Sie die Zertifikatanforderungsdatei unter einem UNC-Pfad (\\<Server>\<Share>\ oder \\<LocalServerName>\c$\) speichern. In Exchange-Verwaltungsshell können Sie einen lokalen Pfad angeben.

• Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

• Weitere Informationen zu Tastenkombinationen, die für die Verfahren in diesem Artikel gelten können, finden Sie unter Tastenkombinationen im Exchange Admin Center.

Erstellen einer neuen Zertifikatanforderung mithilfe der Exchange-Verwaltungskonsole

1. Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.

2. Wählen Sie in der Dropdownliste Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, und wählen Sie dann aus.

Der neue Exchange-Zertifikat-Assistent wird geöffnet.

3. Überprüfen Sie auf der Seite Dieser Assistent erstellt ein neues Zertifikat oder eine Zertifikatanforderungsdatei , ob Die Option Zertifikatanforderung von einer Zertifizierungsstelle erstellen ausgewählt ist, und wählen Sie dann Weiter aus.

   Hinweis

   Informationen zum Erstellen eines neuen selbstsignierten Zertifikats finden Sie unter Erstellen eines neuen Exchange Server selbstsignierten Zertifikats.

4. Geben Sie auf der Seite Anzeigename für dieses Zertifikat einen beschreibenden Namen für das Zertifikat ein, und wählen Sie dann Weiter aus.

5. Wählen Sie auf der Seite Fordern Sie ein Platzhalterzertifikat an eine der folgenden Optionen:

   • Wenn Sie ein Platzhalterzertifikat möchten: Wählen Sie Platzhalterzertifikat anfordern aus, und geben Sie das Platzhalterzeichen (*) und die Domäne in das Feld Stammdomäne ein, z. B. *.contoso.com oder *.eu.contoso.com. Klicken Sie anschließend auf Weiter.
   • Wenn Sie ein SAN-Zertifikat (Subject Alternative Name) benötigen: Nehmen Sie auf dieser Seite keine Auswahl vor, und wählen Sie Weiter aus.
   • Wenn Sie ein Zertifikat für einen einzelnen Host benötigen: Wählen Sie auf dieser Seite keine Auswahl aus, und wählen Sie Weiter aus.

6. Wählen Sie auf der Seite Zertifikatanforderung auf diesem Server speicherndie Option Durchsuchen aus, und wählen Sie den Exchange-Server aus, auf dem Sie die Zertifikatanforderung speichern möchten (auf dem Sie das Zertifikat installieren möchten). Wählen Sie dann OK und Weiter aus.

   Hinweis

   Schritte 7 und 8 gelten nur für eine Anforderung eines SAN-Zertifikats oder ein Zertifikat für einen Host. Wenn Sie die Option Platzhalterzertifikat anfordern ausgewählt haben, fahren Sie mit Schritt 9 fort.

Die Seite Geben Sie die Domänen an, die in Ihr Zertifikat eingeschlossen werden sollen , angezeigt. Diese Seite ist im Wesentlichen ein Arbeitsblatt, mit dem Sie die internen und externen Hostnamen ermitteln können, die im Zertifikat für die folgenden Exchange-Dienste erforderlich sind:

• Outlook im Web
• Offlineadressbuch-Generierung (OAB)
• Exchange-Webdienste
• Exchange ActiveSync
• AutoErmittlung
• POP
• IMAP
• Outlook Anywhere

7. Geben Sie einen Wert für jeden Dienst basierend auf dem Standort (intern oder extern) ein. Anschließend ermittelt der Assistent die Hostnamen, die im Zertifikat erforderlich sind, und die Informationen werden auf der nächsten Seite angezeigt.

8. Wenn Sie einen Wert für einen Dienst ändern möchten, wählen Sie Bearbeiten () aus, und geben Sie den Hostnamenwert ein, den Sie verwenden möchten (oder löschen Sie den Wert). Klicken Sie anschließend auf Weiter.

   Hinweis

   Wenn Sie bereits die Werte für Hostnamen ermittelt haben, die Sie im Zertifikat benötigen, müssen Sie keine Informationen auf dieser Seite angeben. Wählen Sie stattdessen Weiter aus, um die Hostnamen auf der nächsten Seite manuell einzugeben.

Basierend auf Ihrer Auswahl werden die folgenden Domänen auf Ihrem Zertifikat angezeigt. Auf dieser Seite werden die Hostnamen aufgelistet, die in der Zertifikatanforderung enthalten sein werden. Der Hostname, der im Feld Betreff des Zertifikats verwendet wird, ist fett formatiert, was schwer zu erkennen sein kann, ob dieser Hostname ausgewählt ist.

9. Überprüfen Sie die Hostnameneinträge, die im Zertifikat erforderlich sind, indem Sie auf die Auswahl verweisen, die Sie auf der vorherigen Seite vorgenommen haben.

   Wenn Sie diese Liste der Hostnamen nicht für die Aufnahme in die Zertifikatanforderung berücksichtigen möchten, fahren Sie mit Schritt 10 fort.

10. Ignorieren Sie die Werte der letzten Seite, und fügen Sie Hostnamenwerte hinzu, bearbeiten oder entfernen Sie sie, indem Sie die folgenden Schritte ausführen: a. Wenn Sie ein SAN-Zertifikat möchten: Wenn Sie den Hostnamen für das Feld Betreff des Zertifikats auswählen möchten, wählen Sie den Wert aus, und wählen Sie Als allgemeiner Name festlegen (Häkchen) aus. Der Wert sollte jetzt fett formatiert angezeigt werden. b. Wenn Sie ein Zertifikat für einen einzelnen Hostnamen benötigen: Wählen Sie die anderen Werte einzeln aus, und wählen Sie Entfernen ( aus.

    Hinweis

    Sie können den fett formatierten Hostnamenwert, der für das Feld Betreff des Zertifikats verwendet wird, nicht löschen. Zuerst müssen Sie einen anderen Hostnamen auswählen oder hinzufügen und dann das Kontrollkästchen Als allgemeinen Namen festlegen aktivieren. Die Änderungen, die Sie auf dieser Seite vornehmen, gehen möglicherweise verloren, wenn Sie die Schaltfläche Zurück auswählen.

11. Geben Sie auf der Seite Informationen zu Ihrer Organisation angeben die folgenden Werte ein:

• Name der Organisation
• Name der Abteilung
• Ort
• Bundesland/Kanton
• Land/Region

12. Klicken Sie anschließend auf Weiter.

13. Geben Sie auf der Seite Zertifikatanforderung in der folgenden Datei speichern den UNC-Pfad und dateinamen für die Zertifikatanforderung ein, \\FileServer01\Data\ExchCertRequest.reqz. B. . Wenn Sie fertig sind, wählen Sie Fertig stellen aus.

Die Zertifikatanforderung wird in der Liste der Exchange-Zertifikate mit dem Statuswert Ausstehend angezeigt. Weitere Informationen zu den nächsten Schritten finden Sie im Abschnitt Nächste Schritte .

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer neuen Zertifikatanforderung

Verwenden Sie die folgende Syntax, um eine neue Anforderung für ein Wildcardzertifikat, ein SAN-Zertifikat oder ein Zertifikat für einen einzelnen Host zu erstellen:

• Wenn Sie den Inhalt der Zertifikatanforderungsdatei an die Zertifizierungsstelle senden müssen, verwenden Sie die folgende Syntax, um eine Base64-codierte Anforderungsdatei zu erstellen:

  $txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
  [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
  

• Wenn Sie die Zertifikatanforderungsdatei an die Zertifizierungsstelle senden müssen, verwenden Sie die folgende Syntax, um eine DER-codierte Anforderungsdatei zu erstellen:

  $binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
  [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
  

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ExchangeCertificate.

Anforderung eines Wildcard-Zertifikats

In diesen Beispielen werden Zertifikatanforderungsdateien für Wildcardzertifikate mit den folgenden Eigenschaften erstellt:

• SubjectName: *.contoso.com im USA, für die der Wert C=US,CN=*.contoso.comerforderlich ist.
• RequestFile: \\FileServer01\Data\Contoso Wildcard Cert.<cer or pfx>
• FriendlyName: Contoso.com-Wildcard-Zertifikat

Führen Sie den folgenden Befehl aus, um eine Base64-codierte Anforderungsdatei für das Wildcardzertifikat zu erstellen:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Führen Sie den folgenden Befehl aus, um eine DER-codierte Anforderungsdatei für das Wildcardzertifikat zu erstellen:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.pfx', $binrequest.FileData)

SAN-Zertifikatanforderung

In diesen Beispielen werden Zertifikatanforderungsdateien für SAN-Zertifikate mit den folgenden Eigenschaften erstellt:

• SubjectName: mail.contoso.com in der USA, für die der Wert C=US,CN=mail.contoso.comerforderlich ist. Dieser CN-Wert wird automatisch in den DomainName-Parameter (das Feld Alternativer Antragstellername ) eingeschlossen.
• Andere Feldwerte für den alternativen Antragstellernamen :
  • autodiscover.contoso.com
  • legacy.contoso.com
  • mail.contoso.net
  • autodiscover.contoso.net
  • legacy.contoso.net
• RequestFile: \\FileServer01\Data\Contoso SAN Cert.<cer or pfx>
• FriendlyName: Contoso.com SAN-Zertifikat
• DomainName: Durch Trennzeichen getrennte Liste von Domänen ohne Anführungszeichen

Führen Sie den folgenden Befehl aus, um eine Base64-codierte Anforderungsdatei für das SAN-Zertifikat zu erstellen:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Führen Sie den folgenden Befehl aus, um eine DER-codierte Anforderungsdatei für das SAN-Zertifikat zu erstellen:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.pfx', $binrequest.FileData)

Zertifikatanforderung für einzelne Antragsteller

In diesen Beispielen werden Zertifikatanforderungsdateien für Einzelne Antragstellerzertifikate mit den folgenden Eigenschaften erstellt:

• SubjectName: mail.contoso.com in der USA, für die der Wert C=US,CN=mail.contoso.comerforderlich ist.
• RequestFile: \\FileServer01\Data\Mail.contoso.com Cert.<cer or pfx>
• FriendlyName: Mail.contoso.com Cert

Führen Sie den folgenden Befehl aus, um eine Base64-codierte Anforderungsdatei für das einzelne Antragstellerzertifikat zu erstellen:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Führen Sie den folgenden Befehl aus, um eine DER-codierte Anforderungsdatei für das einzelne Antragstellerzertifikat zu erstellen:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.pfx', $binrequest.FileData)

Woher wissen Sie, dass diese Befehle funktioniert haben?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie erfolgreich eine neue Zertifikatanforderung erstellt haben:

• Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie die Zertifikatanforderung gespeichert haben. Die Anforderung sollte in der Liste der Zertifikate enthalten sein, deren Wert für den Parameter Status auf Pending request festgelegt ist.

• Führen sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie die Zertifikatanforderung gespeichert haben, den folgenden Befehl aus:

  Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
  

Nächste Schritte

Der Inhalt einer Base64-codierten Zertifikatanforderungsdatei sieht wie im folgenden Beispiel beschrieben aus:

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIEBjCCAu4CAQAwYzEWMBQGA1UEAwwNKi5jb250b3NvLmNvbTELMAkGA1UECwwC
SVQxEDAOBgNVBAoMB0NvbnRvc28xEDAOBgNVBAcMB1NlYXR0bGUxCzAJBgNVBAgM
AldBMQswCQYDVQQGEwJVUzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
ANZFK6JxcQMEBitJcEC82vCvr6251o28CMmrpIkl7Z0MnkCrU+BMTLBuZnIgaLvb
jlzORvH6DP/dbyR8gQEAHVrXVWdr3AJIRbqQXWwN++BM5b2O6lIrA8w41XwGNu6r
dtddi+POf8UYwot7PXw6wDsbKaTs1ePVK/0XdemdJCFIXNfCT8LY4p/KryQAyquo
XDa+Acbx7TRxG2kXNAxgPGve+mvyCyizbugXAJIz4nugJ2k/X1kGYDc7f/b80tCv
bPTcGCr09ScsbKmsQcqJ7UxiX2tScpO5AQxNxJHGL+bA6+96FBjPnFZaqPbFgI74
N6hmZdSEDgQlaGfLEGjZBGMCAwEAAaCCAVwwGgYKKwYBBAGCNw0CAzEMFgo2LjEu
NzYwMS4yMEwGCSqGSIb3DQEJDjE/MD0wDgYDVR0PAQH/BAQDAgWgMAwGA1UdEwEB
/wQCMAAwHQYDVR0OBBYEFNRw1o74zcuGyky33rl7WChgdQrlMHIGCisGAQQBgjcN
AgIxZDBiAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA
bgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkA
ZABlAHIDAQAwfAYJKwYBBAGCNxUUMW8wbQIBBQwrRVhIUi0zMjQ4LkVYSFItMzI0
OGRvbS5leHRlc3QubWljcm9zb2Z0LmNvbQwXRVhIUi0zMjQ4RE9NXEVYSFItMzI0
OCQMIk1pY3Jvc29mdC5FeGNoYW5nZS5TZXJ2aWNlSG9zdC5leGUwDQYJKoZIhvcN
AQEFBQADggEBAL63qVj1m2mBz53+nilnlFweOlcltXoxaF28+Kf0hrJVbH5a2Jme
tS0iKU8YXU3mZ3NnWco+5ea024f9awMIzg4z/heE5yEUFf9UtwRGSOc84r2QexPa
zT/rveTTcbliKU0EFhporl3C2uuBCdAewyLj+/k0hABH3djnmMONG6NyC5f+wMun
kkH5naiSLdsTYbq8jkWYuSqL0qdhtmauqWeAPpA0hKDkQk5eDWpOGx3mgxiaQumo
Rqw6dmQ+o8TC+lE3Tvgdfv47A84X8H7Y9h8liS4h0OfbsgEQb8LcM0YHD6yvPgcD
JCmt8A7JFHF9u6mghjiKlXaZ/i+2l10Wsu8=
-----END NEW CERTIFICATE REQUEST-----

Sie müssen diese Informationen an die Zertifizierungsstelle senden. Wie Sie es senden, hängt von der Zertifizierungsstelle ab, aber in der Regel senden Sie den Inhalt der Datei in einer E-Mail-Nachricht oder im Zertifikatanforderungsformular auf der Website der Zertifizierungsstelle.

Wenn die Zertifizierungsstelle eine binäre DER-codierte Zertifikatanforderung benötigt (Bei Verwendung des New-ExchangeCertificate-Cmdlets mit der BinaryEncoded-Option), senden Sie in der Regel die gesamte Zertifikatanforderungsdatei an die Zertifizierungsstelle.

Wenn Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, müssen Sie die ausstehende Zertifikatanforderung abschließen. Weitere Informationen finden Sie unter Abschließen einer ausstehenden Exchange Server Zertifikatanforderung.