Konfigurieren von Exchange-Zertifikaten in einer Exchange 2007-Hybridbereitstellung

 

Gilt für:Exchange Online, Office 365

Geschätzte Zeit bis zum Abschließen des Vorgangs: 10 Minuten

Digitale Zertifikate sind eine wichtige Voraussetzung für die sichere Kommunikation zwischen lokalen Exchange 2010-Hybridservern, Clients und der Exchange Online-Organisation. Sie benötigen ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters, das auf den Hybridservern installiert werden kann. Es wird empfohlen, dass der allgemeine Name des Zertifikats mit der primären SMTP-Domäne für Ihre Organisation übereinstimmt.

Weitere Informationen finden Sie unter: Understanding Certificate Requirements for Hybrid Deployments (Grundlegendes zu Zertifikatanforderungen für Hybridbereitstellungen)

Bevor Sie Zertifikate auf den Hybridservern konfigurieren können, müssen Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anfordern. Führen Sie auf einem Hybridserver die folgende Aufgabe aus, wenn Sie ein neues Zertifikat zur Verwendung auf Hybridservern anfordern müssen.

  1. Klicken Sie in der Konsolenstruktur für die lokale Exchange-Organisation auf Serverkonfiguration.

  2. Klicken Sie im Aktionsbereich auf Neues Exchange-Zertifikat, um den Assistenten für neue Exchange-Zertifikate zu öffnen.

  3. Geben Sie auf der Seite Einführung im Feld Anzeigenamen für das Zertifikat eingeben einen beschreibenden Namen für die Zertifikatanforderung an, und klicken Sie auf Weiter.

  4. Beachten Sie auf der Seite Domänenbereich das Kontrollkästchen Platzhalterzertifikat aktivieren. Mithilfe dieses Kontrollkästchens können Sie die Stammdomäne des zu erstellenden Platzhalterzertifikats angeben. Sie sollten dieses Kontrollkästchen nur dann aktivieren, wenn Sie in diesem Zertifikat viele Domänen einschließen möchten. Klicken Sie auf Weiter.

    HinweisHinweis:
    Wenn Sie ein Platzhalterzertifikat aktivieren, fahren Sie mit Schritt 7 fort.
  5. Wenn Sie auf der Seite Domänenbereich kein Platzhalterzertifikat aktiviert haben, wählen Sie auf der Seite Exchange-Konfiguration alle folgenden Dienste aus, und klicken Sie dann auf Weiter:

    1. Wählen Sie unter Clientzugriffsserver (Outlook Web App) die Option Outlook Web App ist im Intranet aus, und geben Sie den internen FQDN des Hybridservers an, auf dem die Clientzugriffsserverrolle installiert ist. Beispiel: Ex2010.corp.contoso.com. Wählen Sie anschließend Outlook Web App ist im Internet, und geben Sie den externen FQDN dieses Hybridservers an. Beispiel: hybrid.contoso.com.

    2. Wählen Sie unter Clientzugriffsserver (Exchange ActiveSync) die Option Exchange ActiveSync ist aktiviert aus, und geben Sie den externen FQDN des Hybridservers an, auf dem die Clientzugriffsserverrolle installiert ist.

    3. Wählen Sie unter Clientzugriffsserver (Webdienste, Outlook Anywhere und AutoErmittlung) die Option Exchange-Webdienste sind aktiviert. Wählen Sie anschließend Outlook Anywhere ist aktiviert aus, und geben Sie den externen FQDN des Hybridservers an, auf dem die Clientzugriffsserverrolle installiert ist. Wählen Sie anschließend AutoErmittlung, verwendet im Internet, wählen Sie Lange URL, und geben Sie die AutoErmittlungs-URL an, die für diesen Hybridserver verwendet werden soll. Beispiel: autodiscover.contoso.com.

    4. Wählen Sie unter Hub-Transport-Server die Option MTLS (Mutual TLS) verwenden, um den Schutz von Internet-E-Mail zu unterstützen aus, und geben Sie anschließend den externen FQDN des Exchange 2010 SP3-Servers an, auf dem die Hub-Transport-Serverrolle installiert ist. Beispiel: hybrid.contoso.com. Wenn Sie planen, anstelle eines Hub-Transport-Servers einen Edge-Transport-Server für den Hybridnachrichtenfluss in Ihrer Organisation zu verwenden, müssen Sie zusätzlich zum externen FQDN des Hub-Transport-Servers auch den externen FQDN für den Edge-Transport-Server angeben. Beispiele: hybrid.contoso.com, edge.contoso.com.

    5. Unter Legacy-Exchange-Server   Wählen Sie Legacydomänen verwenden, und geben Sie den FQDN Ihres Exchange 2007-Servers an. Beispiel: "mail.contoso.com".

  6. Prüfen Sie auf der Seite Zertifikatdomänen die Domänen, die diesem Zertifikat hinzugefügt werden sollen. Stellen Sie sicher, dass die auf der vorherigen Seite angegebenen Domänen vorhanden sind. Führen Sie anschließend die folgenden Schritte aus, und klicken Sie auf Weiter:

    1. Klicken Sie auf Hinzufügen, und geben Sie die OWA-Domäne für Ihren Hybridserver an. Beispiel: owa.contoso.com. Klicken Sie auf OK.

    2. Stellen Sie sicher, dass der externe FQDN Ihres Exchange-Servers als der allgemeine Name festgelegt ist. Wählen Sie andernfalls den Eintrag für den externen FQDN aus, und klicken Sie auf Als allgemeinen Namen festlegen.

  7. Stellen Sie auf der Seite Organisation und Standort die relevanten Informationen bereit. Standortbezogene Einstellungen gelten für den Standort Ihrer Hybridserver. Klicken Sie dann auf Weiter.

  8. Prüfen Sie Ihre Einstellungen auf der Seite Zertifikatkonfiguration, und klicken Sie auf Neu.

  9. Klicken Sie auf der Seite Fertigstellung auf Fertig stellen.

  10. Übermitteln Sie die generierte Anforderung an eine vertrauenswürdige Drittanbieterzertifizierungsstelle. Sie müssen ein Zertifikat auswählen, das die Anzahl der in Schritt 6 angegebenen Domänennamen zulässt. Befolgen Sie die Anweisungen Ihrer Zertifizierungsstelle, um ein Zertifikat auszuwählen und anzufordern.

  11. Speichern Sie das von der Zertifizierungsstelle erhaltene Zertifikat an einem Netzwerkspeicherort, der für Ihre Hybridserver zugänglich ist.

Weitere Informationen finden Sie unter: Understanding Digital Certificates and SSL (Informationen zu digitalen Zertifikaten und SSL)

Führen Sie nach Erhalt des Zertifikats die folgenden Schritte auf allen Hybridservern aus, um das Zertifikat zu importieren und die Exchange-Dienste für die Verwendung des Zertifikats für die hybride Bereitstellung zu konfigurieren:

  1. Klicken Sie in der Konsolenstruktur im Knoten für die lokale Exchange-Organisation auf Serverkonfiguration.

  2. Klicken Sie im Aktionsbereich auf Exchange-Zertifikat importieren, um den Assistenten zum Importieren von Exchange-Zertifikaten zu öffnen.

  3. Klicken Sie auf der Seite Einführung auf Durchsuchen, um die Datei mit dem Zertifikat für die Hybridbereitstellung auszuwählen, und geben Sie dann das Kennwort für das Zertifikat ein.

  4. Wählen Sie auf der Seite Exchange Server-Auswahl alle lokalen Hybridserver aus, und klicken Sie dann auf Weiter.

  5. Stellen Sie auf der Seite Exchange-Zertifikat importieren sicher, dass alle zuvor ausgewählten Optionen korrekt sind, und klicken Sie dann auf Importieren.

  6. Überprüfen Sie auf der Seite Fertigstellung, ob das Zertifikat ordnungsgemäß importiert wurde, und klicken Sie auf Fertig stellen.

  7. Klicken Sie in der Konsolenstruktur auf Serverkonfiguration für den Knoten der lokalen Exchange-Organisation, und wählen Sie das soeben importierte Zertifikat aus.

    WichtigWichtig:
    Überprüfen Sie, ob es sich bei dem ausgewählten Zertifikat um das Zertifikat der vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters handelt. Wenn Sie Dienste auswählen und einem selbstsignierten Zertifikat zuweisen, wird der Assistent zum Verwalten von Hybridkonfigurationen mit einem Fehler abgebrochen.
  8. Klicken Sie im Aktionsbereich auf Dem Zertifikat Dienste zuordnen, um den Assistenten zum Zuordnen von Diensten zu Zertifikaten zu öffnen.

  9. Wählen Sie auf der Seite Server auswählen die lokalen Hybridserver aus, und klicken Sie dann auf Weiter.

  10. Geben Sie auf der Seite Dienste auswählen mithilfe der Kontrollkästchen unter Dienste auswählen an, welche Dienste Sie Ihrem Zertifikat zuweisen möchten. Wenn Sie während der Zertifikaterstellung Dienste ausgewählt haben, sind die Kontrollkästchen für die betreffenden Dienste bereits aktiviert. Für Hybridserver mit der Hub-Transport-Serverrolle muss mindestens Simple Mail Transfer Protocol (SMTP) und für Hybridserver mit der Clientzugriffsserverrolle mindestens Internetinformationsdienste ausgewählt werden. Wenn Sie sich an die bewährte Methode halten, die Clientzugriffs- und Hub-Transport-Serverrollen auf jedem Hybridserver zu kombinieren, sollten diese Dienste dem vertrauenswürdigen Drittanbieterzertifikat auf jedem Hybridserver zugewiesen sein. Klicken Sie auf Weiter.

    HinweisHinweis:
    Wählen Sie Nein aus, wenn das Dialogfeld Soll das vorhandene SMTP-Standardzertifikat überschrieben werden? angezeigt wird.
  11. Überprüfen Sie auf der Seite Dienste zuweisen die Konfigurationszusammenfassung, und klicken Sie auf Zuweisen.

  12. Überprüfen Sie auf der Seite Fertigstellung, ob alle Dienste ordnungsgemäß zugewiesen wurden.

Der erfolgreiche Abschluss des Assistenten zum Importieren von Exchange-Zertifikaten und des Assistenten zum Zuordnen von Diensten zu Zertifikaten weist darauf hin, dass der Importvorgang und die Zuweisung von Diensten zum Zertifikat erwartungsgemäß durchgeführt wurden.

Wenn Sie den erfolgreichen Import des Zertifikats überprüfen möchten, können Sie in der Exchange-Verwaltungsshell auf einem Hybridserver den folgenden Befehl ausführen, um die Zertifikate im lokalen Zertifikatspeicher und die dem Zertifikat zugewiesenen Dienste anzuzeigen.

Get-ExchangeCertificate

Die installierten Zertifikate sollten in der Liste der Exchange-Zertifikate angezeigt werden, die über das Cmdlet Get-ExchangeCertificate zurückgegeben wird. Diese Liste umfasst den Zertifikatfingerabdruck und die Dienste, die dem Zertifikat zugewiesen sind. Überprüfen Sie, ob dem Zertifikat der vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters die richtigen IIS- und SMTP-Dienste zugewiesen sind.

Liegt ein Problem vor? Bitten Sie in den Office 365-Foren um Hilfe. Für den Zugriff auf die Foren müssen Sie sich mit einem Konto anmelden, das über Administratorzugriff auf Ihren cloudbasierten Dienst verfügt. Besuchen Sie die Foren unter: Office 365-Foren

 
Anzeigen: