Erstellen eines neuen selbstsignierten Exchange 2016-Zertifikats

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

Informationen zum Erstellen eines neuen selbstsignierten Zertifikats in Exchange 2016.

Bei der Installation von Exchange 2016 wird ein selbstsigniertes Zertifikat, das vom Exchange-Server selbst erstellt und signiert wird, automatisch auf dem Server installiert. Sie können jedoch auch zusätzliche selbstsignierte Zertifikate erstellen, die Sie verwenden können.

Sie können selbstsignierte Zertifikate in der Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell erstellen.

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.

  • Selbstsignierte Exchange-Zertifikate eignen sich gut zum Verschlüsseln von Kommunikation zwischen internen Exchange-Servern, aber nicht so gut zum Verschlüsseln von externen Verbindungen, da Clients, Server und Dienste nicht automatisch selbstsignierten Exchange-Zertifikaten vertrauen. Informationen dazu, wie Sie eine Zertifikatanforderung (auch bekannt als Zertifikatsignieranforderung oder CSR) für eine gewerbliche Zertifizierungsstelle erstellen, das automatisch von allen Clients, Servern und Diensten als vertrauenswürdig eingestuft wird, finden Sie unter Erstellen einer Exchange 2016-Zertifikatsanforderung für eine Zertifizierungsstelle.

  • Beim Erstellen eines neuen selbstsignierten Zertifikats mithilfe des New-ExchangeCertificate-Cmdlets können das Zertifikat während der Erstellung des Zertifikats Exchange-Diensten zuweisen. Weitere Informationen zu Exchange-Diensten finden Sie unter Zuweisen von Zertifikaten zu Exchange 2016-Diensten.

  • Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Öffnen der Exchange-Verwaltungsshell.

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste“ im Thema Clients and mobile devices permissions.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

tipTipp:
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter: Exchange Server, Exchange Online oder Exchange Online Protection.

  1. Navigieren Sie im EAC zu Server > Zertifikate.

  2. Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, und klicken Sie dann auf HinzufügenHinzufügen (Symbol).

  3. Der neue Exchange-Zertifikat-Assistent wird geöffnet. Wählen Sie auf der Seite Dieser Assistent erstellt ein neues Zertifikat oder eine Zertifikatanforderungsdatei die Option Erstellen eines selbstsignierten Zertifikats aus, und klicken Sie dann auf Weiter.

    Hinweis: Informationen dazu, wie Sie eine neue Zertifikatanforderung für eine Zertifizierungsstelle erstellen, finden Sie unter Erstellen einer Exchange 2016-Zertifikatsanforderung für eine Zertifizierungsstelle.

  4. Geben Sie auf der Seite Anzeigename für dieses Zertifikat einen Anzeigenamen für das Zertifikat ein, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite, auf der Sie die Server angeben, auf die Sie dieses Zertifikat anwenden möchten, auf HinzufügenHinzufügen (Symbol)

    Wählen Sie auf der Seite Server auswählen den Exchange-Server aus, auf dem Sie das Zertifikat installieren möchten, und klicken Sie auf Hinzufügen - >. Wiederholen Sie diesen Schritt so oft wie nötig. Wenn Sie mit dem Auswählen von Servern fertig sind, klicken Sie auf OK.

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.

  6. Die Seite Domänen angeben, die in der Zertifikatanforderung enthalten sein sollen ist im Wesentlichen ein Arbeitsblatt, das Sie dabei unterstützt, die internen und externen Hostnamen zu ermitteln, die im Zertifikat für die folgenden Exchange-Dienste erforderlich sind:

    • Outlook im Web

    • Offlineadressbuch-Generierung (OAB)

    • Exchange-Webdienste

    • Exchange ActiveSync

    • AutoErmittlung

    • POP

    • IMAP

    • Outlook Anywhere

    Wenn Sie einen Wert für jeden Dienst basierend auf dem Speicherort (intern oder extern) eingeben, ermittelt der Assistent die Hostnamen, die im Zertifikat erforderlich sind, und die Informationen werden auf der nächsten Seite angezeigt. Klicken Sie zum Ändern eines Werts für einen Dienst auf Bearbeiten (Bearbeitungssymbol), und geben Sie den Wert für Hostname ein, den Sie verwenden möchten (oder löschen Sie den Wert). Klicken Sie nach Abschluss des Vorgangs auf Weiter.

    Wenn Sie bereits die Werte für Hostnamen ermittelt haben, die Sie im Zertifikat benötigen, müssen Sie keine Informationen auf dieser Seite angeben. Klicken Sie stattdessen auf Weiter, um die Hostnamen manuell auf der nächsten Seite eingeben.

  7. Auf der Seite Basierend auf Ihrer Auswahl werden die folgenden Domänen in Ihr Zertifikat aufgenommen. werden die Hostnamen aufgeführt, die in das selbstsignierte Zertifikat aufgenommen werden. Der Hostname, der im Feld Subject des Zertifikats verwendet wird, ist fett formatiert. Dies ist schwierig zu erkennen, wenn dieser Hostname bereits ausgewählt ist. Sie können die Einträge für Hostname, die im Zertifikat benötigt werden, auf Grundlage der ausgewählten Optionen prüfen, die Sie auf der vorherigen Seite gewählt haben. Sie können die Werte auf der letzten Seite auch ignorieren und die Werte für Hostname hinzufügen, bearbeiten oder entfernen.

    • Wenn Sie ein SAN-Zertifikat anfordern möchten, müssen Sie im Feld Subject einen allgemeinen Namen angeben. Markieren Sie zum Auswählen des Hostnamens für das Subject-Feld des Zertifikats den Wert, und klicken Sie auf Als allgemeinen Namen festlegen (Kontrollkästchen). Der Wert sollte jetzt fett formatiert angezeigt werden.

    • Wenn Sie ein Zertifikat für einen Hostnamen anfordern möchten, markieren Sie die übrigen Werte nacheinander, und klicken Sie auf Entfernen (Entfernen (Symbol)).

    Klicken Sie abschließend auf dieser Seite auf Fertig stellen.

    Hinweise:

    • Sie können den fett formatierten Hostnamen nicht löschen, der für das Subject-Feld des Zertifikats verwendet wird. Sie müssen zunächst einen anderen Hostnamen markieren oder hinzufügen und dann auf Als allgemeinen Namen festlegen klicken (Kontrollkästchen).

    • Die auf dieser Seite vorgenommenen Änderungen gehen möglicherweise verloren, wenn Sie auf die Schaltfläche Zurück klicken.

Verwenden Sie zum Erstellen eines neuen selbstsignierten Exchange-Zertifikats die folgende Syntax:

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...]  [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

In diesem Beispiel wird ein selbstsigniertes Zertifikat auf dem lokalen Exchange-Server mit den folgenden Eigenschaften erstellt:

  • Betreff <ServerName>. Beispiel: Wenn Sie den Befehl auf dem Server mit dem Namen „Mailbox01“ ausführen, ist der Wert Mailbox01.

  • Alternativer Antragstellername <ServerName>, <Server FQDN>. Beispiel: Mailbox01, Mailbox01.contoso.com.

  • AnzeigenameMicrosoft Exchange

  • Dienste   POP, IMAP, SMTP.

New-ExchangeCertificate

In diesem Beispiel wird ein selbstsigniertes Zertifikat auf dem lokalen Exchange-Server mit den folgenden Eigenschaften erstellt:

  • Betreff   Exchange01, der den Wert CN=Exchange01 erfordert. Beachten Sie, dass dieser Wert automatisch in den DomainName-Parameter (das Subject Alternative Name-Feld) aufgenommen wird.

  • Zusätzliche alternativer Antragstellernamen:

    • mail.contoso.com

    • autodiscover.contoso.com

    • Exchange01.contoso.com

    • Exchange02.contoso.com

  • Dienste   SMTP, IIS

  • Anzeigename   Contoso-Exchange-Zertifikat

  • Ein privater Schlüssel ist exportierbar. So können Sie das Zertifikat vom Server exportieren (und auf anderen Servern importieren).

New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

Hinweise:

  • Die einzige erforderliche Bestandteil des SubjectName-Parameterwerts im X.500 Format (das Subject-Feld des Zertifikats) ist CN=<HostNameOrFQDN>.

  • Einige Services-Parameterwerte generieren Warnungs- oder Bestätigungsmeldungen. Weitere Informationen finden Sie unter Zuweisen von Zertifikaten zu Exchange 2016-Diensten.

  • Weitere Informationen finden Sie unter New-ExchangeCertificate.

Führen Sie einen der folgenden Schritte aus, um sicherzustellen, dass Sie ein selbstsigniertes Exchange-Zertifikat erfolgreich erstellt haben:

  • Stellen Sie im EAC unter Server > Zertifikate sicher, dass der Server ausgewählt ist, auf dem das selbstsignierte Zertifikat erstellt wurde. Das Zertifikat sollte in der Liste der Zertifikate mit dem Status-Wert Gültig aufgeführt sein.

  • Führen Sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie das selbstsignierte Zertifikat erstellt haben, den folgenden Befehl aus, und überprüfen Sie die Eigenschaften:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
    
 
Anzeigen: