msblog.eu

Exchange 2013 Serverzertifikat erstellen

8. Juni 2013 by Malte Schoch 10 Comments

Nach der Installation eines Exchange 2013 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Öffnen Sie die Exchange Verwaltungskonsole
Exchange2013_Zertifikat_01
Klicken Sie unter „Server“ und „Zertifikate“ auf „+“ …
Exchange2013_Zertifikat_02
Erstellen Sie eine neue Anforderung für die Zertifizierungsstelle
Exchange2013_Zertifikat_03
Da wird nur nur eine Domäne haben, brauchen wir hier keine Stammdomäne eintragen.
Exchange2013_Zertifikat_04
Wählen Sie aus, auf welchen Exchange Servern die Zertifikatsanforderung gespeichert werden soll.
Exchange2013_Zertifikat_05
Bitte tragen Sie in die entsprechenden Felder die erforderlichen Daten ein.
Exchange2013_Zertifikat_06
Als Default Name empfehle ich Ihnen immer den internen Servernamen.
Exchange2013_Zertifikat_07
Allgemeine Informationen zu Ihrem Unternehmen…
Exchange2013_Zertifikat_08
Bitte wählen Sie einen entsprechenden Speicherort für die Zertifikatsanforderung aus. (Der Speicherort muss immer als UNC Pfad angegeben werden)
Exchange2013_Zertifikat_09
Bitte starten Sie den Browser und öffnen die URL der Zertifizierungsstelle. Wenn Sie intern noch keine Zertifizierungsstelle installiert haben, gehen Sie bitte folgendermaßen vor:
Installation Zertifizierungsstelle Windows Server 2008 -> https://www.msblog.eu/microsoft-zertifizierungsstelle-installieren/
Installation Zertifizierungsstelle Windows Server 2012 -> https://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/
Exchange2013_Zertifikat_10
Bitte wählen Sie erweiterte Zertifikatsanforderung aus..
Exchange2013_Zertifikat_11
Sie wollen eine bestehende Anforderung einsenden..
Exchange2013_Zertifikat_12
Bitte kopieren Sie den Inhalt von der .req Datei, welche Sie von der Exchange Console abgespeichert haben. Sie können die Datei mit einem Editor öffnen.
Als Zertifikatsvorlage wählen Sie bitte „Webserver“ aus und klicken auf „Einsenden“
Exchange2013_Zertifikat_13
Bestätigen Sie den Vorgang…
Exchange2013_Zertifikat_14
Laden Sie das Zertifikat herunter und speichern Sie in einen entsprechenden Pfad ab. (Dieser Pfad sollte wieder per UNC erreichbar sein)
Exchange2013_Zertifikat_15
Wechseln Sie wieder in die Exchange Verwaltungskonsole unter „Server“ und dann Zertifikate
Exchange2013_Zertifikat_16
Tragen Sie den entsprechenden Pfad für das Zertifikat ein, welches Sie von der Zertifizierungsstelle heruntergeladen haben und bestätigen Sie mit „OK“.
Exchange2013_Zertifikat_17
In Anschluss müssen wir den Zertifikat noch die entsprechenden Dienste zuweisen. Wählen Sie also das neue Zertifikat aus und klicken auf „bearbeiten“.
Exchange2013_Zertifikat_18
Wählen Sie hier bitte die entsprechenden Dienste aus, welche für das Zertifikat verwendet werden sollen.

Exchange2013_Zertifikat_19
Sollten Sie schon ein Zertifikat auf ein bestehenden Service hinterlegt haben, bestätigen Sie bitte, dass dieses nun ausgetauscht wird.

Filed Under: Exchange 2013 Tagged With: Exchange 2013, Zertifikate

Comments

  1. Jens Hauser says

    15. Juli 2014 at 12:08

    Ausgezeichnet erklärt, vielen Dank! Hat mir eine Menge Zeit gespart!

    Zum Antworten anmelden
  2. Nils Pütthoff says

    29. Oktober 2014 at 15:09

    Ich bekomme das Zertifikat nicht auf „gültig“. Jemand eine Idee? Hab alles genau so gemacht wie oben beschrieben.

    Exchange 2013 auf Server 2012 R2

    Zum Antworten anmelden
    • Nils Pütthoff says

      30. Oktober 2014 at 10:50

      Lösung „gpudate /force“

      Zum Antworten anmelden
      • Guido says

        24. Januar 2015 at 20:45

        Hallo Nils,

        da ich im Zertifikat die Meldung hatte „… nicht vertrauenswürdidg“ und die Aufforderung hatte es im Speicher zu installieren, habe ich zunächst ewig nach dem Fehler gesucht.
        Nach dem auch kein Neustart geholfen hat, habe ich das Zertifikat neu erstellt, gleicher Fehler.
        Nach gpupdate /force ist das Zertifikat nun gültig und auch im Zertifikat ist der Hinweis nun weg.
        Danke

        Wo liegt die Ursache?
        In Video2Brain von Joos war es nicht notwendig gewesen und hier im Blog auch nicht.

        Grüße
        Guido

        Zum Antworten anmelden
        • X says

          6. Juli 2015 at 14:48

          Das liegt daran, dass der Zertifizierungspfad vor dem gpupdate nicht gültig war. Nachh Ausrollen der Stammzertifizierungsstelle muss das Root-CA auch auf dem Exchange bekannt sein. Ist es das, stimmt auch der Zertifzierungspfad und das selbst signierte Zertifikat wird als gültig angesehen.

          VG

          Zum Antworten anmelden
  3. Hansa77 says

    18. Oktober 2015 at 13:53

    Danke für die Anleitung und auch die für eine Einrichtung einer Zertifikatsstelle.
    Outlook 2010 und 2013 finden nun alles korrekt.

    Grüße
    Tom.

    Zum Antworten anmelden
  4. Dustin Heine says

    8. April 2016 at 18:10

    Hallo,

    ich habe alle so gemacht wie oben beschrieben. Über die Outlook Web App komm ich das von mir erstellte Konto nun rein aber ich möchte das Konto in Outlook 2016 einrichten. Brauch ich da noch ein zertifikat für?

    Gruß Dustin

    Zum Antworten anmelden
  5. Peter says

    19. Oktober 2017 at 07:26

    Moin,
    ich betreibe einen Exchange 2013 mit folgenden Zertifikaten und SplittDNS (remote.domain.com).
    Welches Zertifikate werden für den Exchange benötigt?
    Bisher habe ich immer nur das 1. Zertifikat bei einen externen Zertifikat-Anbieter erneuern lassen.
    Die gesamte Kommunikation / virtuelle Verzeichnis geschieht über remote.domain.com
    Reicht es nicht aus nur das 1. Zertifikat zu benutzen?
    Kann ich die andern 3 Zertifikate dann löschen?

    1. Zertifikat
    remote.domain.com 2017
    Von einer Zertifizierungsstelle signiertes Zertifikat
    Aussteller: CN=thawte DV SSL SHA256 CA, OU=Domain Validated SSL, O=“thawte, Inc.“, C=US
    Status
    Gültig
    Gültig bis: 18.11.2018
    Gültig bis: Erneuern
    Diensten zugewiesen
    IMAP, POP, IIS, SMTP

    2. Zertifikat
    WMSVC
    Selbstsigniertes Zertifikat
    Aussteller: CN=WMSvc-SERVEREX
    Status
    Gültig
    Gültig bis: 31.08.2023
    Gültig bis: Erneuern
    Diensten zugewiesen
    KEIN

    3. Zertifikat
    Microsoft Exchange
    Selbstsigniertes Zertifikat
    Aussteller: CN=SERVEREX
    Status
    Gültig
    Gültig bis: 02.09.2018
    Gültig bis: Erneuern
    Diensten zugewiesen
    SMTP

    4. Zertifikat
    Microsoft Exchange Server Auth Certificate
    Selbstsigniertes Zertifikat
    Aussteller: CN=Microsoft Exchange Server Auth Certificate
    Status
    Gültig
    Gültig bis: 07.08.2018
    Gültig bis: Erneuern
    Diensten zugewiesen
    SMTP

    Gruss
    Der Peter

    Zum Antworten anmelden

Trackbacks

  1. Work Folders | Zertifikate ausrollen | Hans Brender's Blog sagt:
    14. Januar 2014 um 16:34 Uhr

    […] Exchange 2013 Serverzertifikat erstellen […]

    Zum Antworten anmelden
  2. Confluence: Knowledge Base sagt:
    14. Oktober 2016 um 11:10 Uhr

    Outlook Anywhere

    Zuerst muss ein SSL Zertifikat auf die Domäne als

    Zum Antworten anmelden

Schreibe einen Kommentar Antworten abbrechen

Du musst angemeldet sein, um einen Kommentar abzugeben.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Ein Blog über Exchange Server von Malte Schoch

Ein Blog über Exchange Server von Malte Schoch

PAGES

  • ABOUT
  • IMPRESSUM

Tags

Active Sync Adress List Adress Policy ADSI-Edit Akzeptierte Domänen Berechtigungen CAS Array DAG Database DHCP DNS E-Mail Adressen Exchange 2003 Exchange 2007 Exchange 2010 Exchange 2013 Exclaimer Installation Internal Internet Explorer iPhone ISA / TMG Server Lizenzen Mailbox Migration OAB Outlook 2007 Outlook 2010 Outlook Anywhere Outlook Web Access Permission Powershell PST Public Folder Relay Security Service Packs Services Uninstall Updates/Rollups Verteilergruppen Virtualisierung Windows Server 2012 Zertifikate Zertifizierungsstelle

Latest Posts

  • Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Exchange 2007 deinstallieren – Setup bleibt hängen
  • E-Mail bleibt im Postausgang hängen bei zusätzlichen Postfach
  • Ändern der Standardschrift in OWA für alle Benutzer
  • VMware Workstation – Not enough physical Memory

Links

  • Exchange Remote Connectivity Analyzer
  • Exchange Server Technet Forum
  • The Exchange Team Blog
  • Trageberatung in Kiel
  • Windows Server Catalog

Last Comments

  • Exchange Server 2010: Kein Login via OWA möglich. Fehlermeldung " ERR_RESPONSE_HEADERS_TRUNCATED" - doktorlatte und captain coffeedoktorlatte und captain coffee bei Welche Exchange 2010 Systemdienste gibt es?
  • Peter bei Ändern der Standardschrift in OWA für alle Benutzer
  • Anon bei Berechtigung auf Postfach Ordner mit Hilfe der Powershell setzen
  • Patrick bei Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Micha bei Anzeige aller E-Mail Adressen in Exchange 2010
  • Impressum

Copyright © 2023 · Outreach Pro on Genesis Framework · WordPress · Log in