Nach der Installation eines Exchange 2010 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.
Folgende Namen sollten auf diesen Zertifikat erscheinen:
- Server
- Server.domäne.local
- mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
- outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
- autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
- autodiscover.domäne.eu
Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.
Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:
Klicken Sie auf neues Zertifikat beantragen (roter Rahmen).
Als allgemeinen Namen würde ich Ihnen immer, den vollqualifizierten Servername empfehlen.
Da es sich hier um eine Single Domäne handelt, müssen Sie hier nichts konfigurieren.
Bitte füllen Sie die entsprechenden Felder für Outlook Web Access und Microsoft Active Sync mit Ihren Informationen.
Bitte füllen Sie die entsprechenden Felder für Outlook Anywhere und Autodiscover
Zum Schluss werden nochmal alle Namen dargstellt. Ich habe die Namen in den roten Rahmen manuell hinzugefügt und wurde Ihnen dies auch in Ihrer Umgebung empfehlen. Als allgemeinen Namen nehmen Sie hier bitte auch den vollqualifizierten Servernamen.
Ein paar Informationen zu Ihrem Unternehmen. Unten geben Sie bitte den Speicherort für die Anforderungsdatei des Zertifikats an. Dieser ist frei wählbar.
Schließen Sie die Zertifikatsanforderung ab.
Für die nächsten Schritte benötigen wir nun eine interne Zertifizierungsstelle. Die Zertifizierungsstelle ist immer über folgenden Link erreichbar: http://Servername/certsrv
Bitte führen Sie den IE als Administrator aus, da sonst die Möglichkeit besteht, dass Sie nicht den entsprechenden Zugriff auf alle Templates erhalten.
Reichen Sie eine erweiterte Zertifikatsanforderung ein.
Da Sie schon eine Anforderung erstellt haben, reichen Sie eine Anforderung ein.
In dem Feld „Gespeicherte Anforderung“ kopieren Sie bitte den Inhalt der Anforderungsdatei, welche Sie auf dem Computer abgespeichert haben. Sie können die „.req“ Datei mit dem Editor öffnen. Als Vorlage wählen Sie bitte Webserver aus.
Laden Sie sich das neue Zertifikat herunter und speichern Sie es wieder an einem beliebigen Ort ab. (Ich empfehle Ihnen C:)
Zurück in der Exchange Management Konsole. Klicken Sie nun auf die erstelle Anforderung und dann auf der rechten Seite auf „Anstehenden Anforderung abschließen“.
Wählen Sie das eben heruntergeladenen Zertifikat aus.
Schließen Sie die Anforderung ab.
Das neue Zertifikat wurde erfolgreich erstellt. Nun müssen Sie noch definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen Sie das neue Zertifikat aus und klicken Sie auf der rechten Seite auf „Dem Zertifikat Dienste zuordnen“
Wählen Sie bitte den Exchange Server aus, indem Sie auf „Hinzufügen“ klicken.
Sie können nun definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen SIe alle bis auf Unified Messaging aus.
Schließen Sie die Konfiguration ab.
Zum Schluss werden Sie gefragt, ob das bestehende Zertifikat ersetzt werden soll. Dies bestätigen Sie bitte.
Das neue Zertifikat ist nun komplett installiert und wird vom dem Exchange Server verwendet.
Super Manual!!! 🙂
Danke für die SUPER Dokumentation.
Super Anleitung! Vielen Dank!
Hey,
vielen Dank für diese geniale Anleitung, erleichter die Arbeit enorm:)
Guten Tag
Ich habe eine Zertifizierungsstelle und ein Zertifikat erstellt.
auf dem Exchange server kann ich OWA ohne probleme aufrufen zertifikat gültig, wenn ich jetzt über meinen dyndns account das ganz aufrufe stimmt das zertifikat nicht. Habe das Zertifikat auf dem Client installiert, name der domäne stimmt auch überrein mit dem zertifikat. Haben Sie eine Idee ?
Hallo Waldner,
haben Sie das Root Zertifikat von der Zertifizierungsstelle auch auf dem Handy installiert?
Dem Exchange Zertifikat kann nur vertraut werden, wenn Sie auch dem Root Zertifikat vertrauen.
Viele Grüße
Malte Schoch
Danke für die schnelle Antwort !
Ich habe das Problem gelöst, da ich mich mit dyndns verbinde hatte ich das falsche zertifikat installiert.
Danke !
Daaaaanke, besser geht’s nicht. Chapeau!
Danke für die Erklärung, hat mir bei Outlook Anywhere letztlich geholfen.
Gruß
Super Anleitung, danke hat mir Zeit gespart
Hallo Malte,
tolle Anleitung. Ich kann jedoch nur das „Webserver“ Template auswählen, wenn ich auf dem Server den IE als Administrator ausführe. Sonst gehen nur Benutzer oder BASIS-EFS als Template-Auswahl.
Gruß
Denis
Hallo Denis,
vielen Dank für deine Info. Ich habe deine Anmerkung im Artikel mit aufgenommen.
Viele Grüße
Malte
Vielen Dank für deine Anleitung.
Eine Frage jedoch zum allgemeinen Namen des Zertifikates. Sollte denn nicht besser der externe Name als allgemeiner Name definiert werden, da die Clients die von extern zugreifen sonst eine Fehlermeldung erhalten weil der Name des Zertifikates nicht mit der URL für den Zugriff übereinstimmt?
Danke und Gruß
Hallo Andreas,
ich habe bei meinen Kunden den Exchange Server nach außen immer über ein TMG oder ISA Server veröffentlicht. Daher war das Exchange Zertifikat nur für den reinen internen Gebrauch. Auf dem Web Listener vom ISA / TMG Server habe ich dann ein neues Zertifikat hinterlegt, welches nur den externen Namen beinhaltet hat. Das hatte den Hintergrund, dass man von extern nicht gleich alle internen Namen sehen konnte.
Du kannst als allgemeinen Namen natürlich auch den externen Namen verwenden. Die Clients bekommen dann keine Fehlermeldung, wenn du alle Namen, über die eine Verbindung zum Exchange Server aufgebaut werden als zusätzliche Namen in dem Zertifikat einträgst.
Das selbstsignierte Zertifikat habe ich nie gelöscht.
Viele Grüße
Malte
Sollte das selbstsignierte Zertifikat entfernt werden sobald dem Zertifikat der internen PKI Dienste zugewiesen wurden?
vielen vielen dank für diese sehr gute anleitung! 🙂
Vielen herzlichen DANK!!!!
Klasse Anleitung!!!
Daumen hoch…. 🙂
So eine „i…sichere“ Anleitung liest und befolgt man gerne, wenn es dann auch noch funktioniert, ist es super! Danke, hat mir einiges an Zeit gespart.
Klasse Anleitung, hat mir sehr viel Zeit und Ärger erspart! Vielen Dank dafür.
richtig toll- ein paar Hürden gab es noch, aber mit den hier vermittelten Informationen und Hinweisen, waren auch die zu überwinden.
Allergrösster Respekt – genug Hintergrundinfo, aber kein selbstherrliches BlaBla, wie leider sonst so oft.
GANZ GROSSE KLASSE
Super Anleitung – Herzlichen Dank !
Wirklich eine hilfreiche und gute Anleitung.
Vielen Dank!
Semana que vem vou pra Buenos Aires e também a acontecido
foi emitida através de alcunha de donzela,
contudo jamais alterei a humanidade instrumentos desde afinidade, junto desvio do autorização. http://Kimu.cside4.jp/cgi/yybbs621/yybbs.cgi?list=thread
Vielen Dank!