Erneuern eines Exchange Server-Zertifikats

  • Artikel

Jedes Zertifikat verfügt über ein integriertes Ablaufdatum. In Exchange Server läuft das auf dem Exchange-Server installierte selbstsignierte Standardzertifikat 5 Jahre nach der Installation von Exchange auf dem Server ab. Sie können das Exchange-Verwaltungskonsole (EAC) oder die Exchange-Verwaltungsshell zum Erneuern von Exchange-Zertifikaten verwenden. Dies umfasst sowohl selbstsignierte Exchange-Zertifikate als auch von einer Zertifizierungsstelle (ZS) ausgestellte Zertifikate.

Hinweis

Die Zertifikatverwaltungsaufgaben werden für Exchange Server 2016 CU23 und Exchange Server 2019 CU12 aus dem EAC entfernt. Verwenden Sie das Exchange-Verwaltungsshell-Verfahren, um das Zertifikat aus diesen Versionen zu exportieren/zu importieren.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten

  • Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

  • Stellen Sie bei von einer Zertifizierungsstelle ausgestellten Zertifikaten sicher, dass die Zertifikatanforderung die Anforderungen der Zertifizierungsstelle erfüllt. Exchange generiert eine PKCS #10-Anforderungsdatei (.req), die Base64 (Standardeinstellung) oder DER (Distinguished Encoding Rules) verwendet, mit einem öffentlichen RSA-Schlüssel mit 1024 Bit, 2048 Bit (Standardeinstellung) oder 4096 Bit. Beachten Sie, dass die Codierungs- und öffentliche Schlüsseloptionen nur in der Exchange-Verwaltungsshell zur Verfügung stehen.

  • Ein von einer Zertifizierungsstelle ausgestelltes Zertifikat muss mit der gleichen Zertifizierungsstelle erneuert werden, die das Zertifikat ausgestellt hat. Wenn Sie die Zertifizierungsstellen ändern oder beim Erneuern ein Problem mit dem ursprünglichen Zertifikat auftritt, müssen Sie eine neue Zertifikatanforderung (auch Zertifikatsignieranforderung genannt) für ein neues Zertifikat erstellen. Weitere Informationen finden Sie unter Erstellen einer Exchange Server Zertifikatanforderung für eine Zertifizierungsstelle.

  • Wenn Sie ein Zertifikat verlängert oder ersetzen, das von einer Zertifizierungsstelle auf einem abonnierten Edge-Transport-Server ausgegeben wurde, müssen Sie das alte Zertifikat entfernen und dann das Edge-Abonnement löschen und neu erstellen. Weitere Informationen finden Sie unter Edge-Abonnementprozess.

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Eintrag „Sicherheitseinstellungen für Clientzugriffsdienste" im Thema Berechtigungen für Clients und mobile Geräte.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.

Erneuern eines von einer Zertifizierungsstelle ausgestellten Zertifikats

Die Vorgehensweise ist dieselbe wie bei Zertifikaten, die von einer internen Zertifizierungsstelle (z B. Active Directory-Zertifikatdienste) oder von einer gewerblichen Zertifizierungsstelle ausgestellt wurden.

Zum Erneuern eines von einer Zertifizierungsstelle ausgestellten Zertifikats müssen Sie eine Zertifikatserneuerungsanforderung erstellen und sie dann an die Zertifizierungsstelle senden. Die Zertifizierungsstelle sendet Ihnen dann die Zertifikatsdatei, die Sie auf dem Exchange-Server installieren müssen. Die Vorgehensweise ist nahezu dieselbe wie beim Abschließen einer neuen Zertifikatanforderung durch die Installation des Zertifikats auf dem Server. Anweisungen finden Sie unter Abschließen einer ausstehenden Exchange Server Zertifikatanforderung.

Verwenden des EAC zum Erstellen einer Zertifikatserneuerungsanforderung für eine Zertifizierungsstelle

  1. Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.

  2. Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem das zu erneuernde Zertifikat gespeichert ist.

  3. Alle gültigen Zertifikate verfügen im Detailbereich über den Link Erneuern, wenn Sie das Zertifikat aus der Liste auswählen. Wählen Sie das Zertifikat, das Sie erneuern möchten, und klicken Sie dann im Detailbereich auf Erneuern.

  4. Geben Sie auf der Seite Exchange-Zertifikat erneuern im Feld Zertifikatanforderung in der folgenden Datei speichern den UNC-Pfad und den Dateinamen für die neue Zertifikatserneuerungs-Anforderungsdatei ein. Beispiel: \\FileServer01\Data\ContosoCertRenewal.req. Klicken Sie nach Abschluss des Vorgangs auf OK.

Die Zertifikatanforderung wird in der Liste der Exchange-Zertifikate mit dem Statuswert Ausstehend angezeigt.

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Zertifikatserneuerungsanforderung für eine Zertifizierungsstelle

Verwenden Sie die folgende Syntax, um eine neue Zertifikatverlängerungsanforderung für eine Zertifizierungsstelle zu erstellen:

  • Wenn Sie den Inhalt der Anforderungsdatei für die Zertifikaterneuerung an die Zertifizierungsstelle senden müssen, verwenden Sie die folgende Syntax, um eine Base64-codierte Anforderungsdatei zu erstellen:

    $txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

  • Wenn Sie die Anforderungsdatei für die Zertifikaterneuerung an die Zertifizierungsstelle senden müssen, verwenden Sie die folgende Syntax, um eine DER-codierte Anforderungsdatei zu erstellen:

    $binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)

Führen Sie für die Suche nach dem Fingerabdruckwert des zu erneuernden Zertifikats den folgenden Befehl aus:

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ExchangeCertificate und New-ExchangeCertificate.

Hinweise:

  • Wenn Sie den KeySize-Parameter nicht verwenden, weist die Zertifikatanforderung einen öffentlichen 2048-Bit-RSA-Schlüssel auf.
  • Wenn Sie den Server-Parameter nicht verwenden, wird der Befehl auf dem lokalen Exchange-Server ausgeführt.

In diesem Beispiel wird eine Base64-codierte Zertifikaterneuerungsanforderung für das vorhandene Zertifikat mit dem Fingerabdruckwert 5DB9879E38E36BCB60B761E29794392B23D1C054erstellt:

$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

In diesem Beispiel wird eine DER-codierte Zertifikaterneuerungsanforderung (binär) für dasselbe Zertifikat erstellt:

$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)

Woher wissen Sie, dass Sie erfolgreich eine Zertifikatverlängerungsanforderung erstellt haben?

Führen Sie einen der folgenden Schritte aus, um sicherzustellen, dass eine neue Zertifikatserneuerungsanforderung für eine Zertifizierungsstelle erfolgreich erstellt wurde:

  • Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie die Zertifikatanforderung gespeichert haben. Die Anforderung sollte in der Liste der Zertifikate mit dem StatusAusstehende Anforderung aufgeführt sein.

  • Führen sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie die Zertifikatanforderung gespeichert haben, den folgenden Befehl aus:

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Erneuern eines selbstsignierten Exchange-Zertifikats

Wenn Sie ein selbstsigniertes Exchange-Zertifikat erneuern, erstellen Sie im Wesentlichen ein neues Zertifikat.

Verwenden des EAC zum Erneuern eines selbstsignierten Exchange-Zertifikats

  1. Öffnen Sie das EAC, und navigieren Sie zuServerZertifikate>.

  2. Wählen Sie in der Liste Server auswählen den Exchange-Server aus, auf dem das zu erneuernde Zertifikat gespeichert ist.

  3. Alle gültigen Zertifikate verfügen im Detailbereich über den Link Erneuern, wenn Sie das Zertifikat aus der Liste auswählen. Wählen Sie das Zertifikat, das Sie erneuern möchten, und klicken Sie dann im Detailbereich auf Erneuern.

  4. Überprüfen Sie auf der Seite Exchange-Zertifikat erneuern die schreibgeschützte Liste der Exchange-Dienste, denen das vorhandene Zertifikat zugewiesen wurde, und klicken Sie dann auf OK.

Verwenden der Exchange-Verwaltungsshell zum Erneuern eines selbstsignierten Exchange-Zertifikats

Verwenden Sie zum Erneuern eines selbstsignierten Zertifikats die folgende Syntax:

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]

Führen Sie für die Suche nach dem Fingerabdruckwert des zu erneuernden Zertifikats den folgenden Befehl aus:

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

In diesem Beispiel wird ein selbstsigniertes Zertifikat auf dem lokalen Exchange-Server mit den folgenden Einstellungen erstellt:

  • Der Fingerabdruckwert des vorhandenen selbstsignierten Zertifikats, das erneuert werden soll, ist BC37CBE2E59566BFF7D01FEAC9B6517841475F2D
  • Die Option Erzwingen ersetzt das ursprüngliche selbstsignierte Zertifikat ohne Bestätigungsaufforderung.
  • Ein privater Schlüssel ist exportierbar. So können Sie das Zertifikat exportieren und auf anderen Servern importieren.
Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true

Woher wissen Sie, dass Sie ein selbstsigniertes Exchange-Zertifikat erfolgreich erneuert haben?

Verwenden Sie eine der folgenden Vorgehensweisen, um sicherzustellen, dass ein selbstsigniertes Exchange-Zertifikat erfolgreich erneuert wurde:

  • Überprüfen Sie im EAC unterServerzertifikate>, ob der Server ausgewählt ist, auf dem Sie das Zertifikat installiert haben. Stellen Sie in der Liste der Zertifikate sicher, dass der Status-Eigenschaftswert für das Zertifikat Gültig lautet.

  • Führen Sie in der Exchange-Verwaltungsshell auf dem Server, auf dem Sie das selbstsignierte Zertifikat erneuert haben, den folgenden Befehl zum Überprüfen der Eigenschaftswerte aus:

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Wichtig

Durch Das Entfernen, Erneuern oder Zuweisen von Diensten zum Zertifikat kann das Zertifikat aus dem Exchange-Back-End und der Standardwebsite entfernt werden. Es ist wichtig, dass Sie die Zertifikatbindungen überprüfen und die richtigen Zertifikate anwenden.

Zusätzliche Ressourcen

OWA, ECP oder EMS kann nicht geöffnet werden, nachdem ein selbstsigniertes Zertifikat von der Exchange-Back-End-Website entfernt wurde.