Sicherheit in Exchange 2016

Exchange-Zertifikate konfigurieren

| Autor: Thomas Joos

Microsoft-Netzwerke effektiv verwalten
Microsoft-Netzwerke effektiv verwalten (Microsoft-Netzwerke effektiv verwalten)

Exchange 2016 setzt auf SSL-gesicherte Verbindungen und Verschlüsselung. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbstsigniertes Zertifikat aus und verwendet dieses für die einzelnen Verschlüsselungen. Sie haben auch die Möglichkeit eine Zertifikat-Anforderung in der Exchange Management Shell zu erstellen.

Das ist zum Beispiel dann sinnvoll, wenn Sie diese Anforderung für das Einreichen bei der Zertifizierungsstelle eines Drittherstellers verwenden müssen. In diesem Fall verwenden Sie zum Beispiel die folgenden Befehle:

$RequestData = New-ExchangeCertificate -GenerateRequest -Server mail01 -SubjectName "c=com, S=germany, L=berlin, O=Contoso, OU=ex, CN=webmail.contoso.com" -DomainName webmail.contoso.com,autodiscover.contoso.com -PrivateKeyExportable $true

Set-Content -path \\mail01\c$\download\ssl-request.req -value $RequestData

Dadurch erstellen Sie eine Textdatei, in welcher die Zertifikatsanforderung abgelegt ist. Auf Basis dieser Zertifikatsanforderung wird ein Zertifikat erstellt. Dieses können Sie ebenfalls in der Exchange Management Shell mit Exchange verbinden. Dazu kopieren Sie das heruntergeladene Zertifikat in das Verzeichnis, in das Sie bereits die Zertifikatsanforderung kopiert haben:

$Data = [Byte[]]$(Get-Content -Path "\\mail01\c$\download\webmail.cer" -Encoding byte -ReadCount 0)

Import-ExchangeCertificate -Server mail01 -FileData $Data

Enable-ExchangeCertificate -Server mail01 -Services IIS

Das Problem dabei ist, dass kein Client dieser Zertifizierungsstelle vertraut, was in Zertifikatfehlermeldungen resultiert. In Exchange 2016 hat Microsoft das Problem aber entschärft, da sich die Server untereinander vertrauen. Sie müssen daher nicht unbedingt das Zertifikat anpassen. In produktiven Umgebungen ist es aber besser, wenn Sie auf Basis der Active Directory-Zertifikatdienste ein neues Zertifikat ausstellen lassen und für Exchange nutzen. Diese Einrichtung sollten Sie so schnell wie möglich nach der Installation durchführen.