Erneuerung selbsterstellter Zertifikate für Microsoft Exchange
Transcription
Erneuerung selbsterstellter Zertifikate für Microsoft Exchange
Technik-Bulletin Subjekt: gültig für: Problem: Stand: Antwort: Erneuerung selbsterstellter Zertifikate für Microsoft Exchange Exchange 2007, Exchange 2010 Ein selbsterstelltes Zertifikat läuft demnächst ab oder ist gar bereits abgelaufen. Im letzteren Fall erhalten Sie eine Meldung vom E-Mail-Client, der sich mit dem Exchange-Server verbinden möchte. August 2014 Das Setup von Exchange 2007 und Exchange 2010 erstellt selbsterzeugte Zertifikate für eine geschützte Kommunikation mit Diensten wie SMTP, IMAP, POP, IIS und UM. Im Exchange wird das Zertifikat für ein Jahr, im Exchange 2010 für fünf Jahre ausgestellt. Obwohl selbsterstellte Zertifikate problemlos funktionieren sollten sie nur für die interne SMTP-Kommunikation zwischen Hub Transport Servers bzw. zwischen Hub Transport und Edge Transport Servers verwendet werden. Es wird nicht empfohlen, sie für die Client-Kommunikation in Produktivsystemen außerhalb des eigenen Netzwerks einzusetzen. Für die meisten Anwendungsbereiche wird man sich für (kostenpflichtigen) Zertifikate von Drittanbieter-CAs entscheiden. Wenn selbsterstellte Zertifikate dennoch über längere Zeit verwendet werden sollen, müssen sie regelmäßig erneuert werden. Die folgende Anleitung erneuert das Zertifikat auf dem Beispiel-Server muster.beispiel.com, einem Server mit den installierten Rollen Client Access Server (CAS) und Hub Transport (HAT): 1. Verlängern des Zertifikats 1.1 Öffnen Sie Microsoft Exchange Server Shell. Geben Sie dort den folgenden Befehl ein, um sich einen Überblick über die installierten Zertifikate zu verschaffen: Get-ExchangeCertificate 1.2 Um weitere Details für die Zertifikate zu erhalten setzten Sie den Befehl jetzt mit dem Parameter „fl“ ab: Get-ExchangeCertificate -domain muster.beispiel.com | fl 1.3 Notieren Sie sich anschließend die Dienste, für die das zu erneuernde Zertifikat gültig ist., z. B. POP, IMAP, IIS, SMTP Volker Baron (Dipl.-Geograph / IT-Systemelektroniker) – Tel.: +49 89 18923500 – Fax: +49 89 18923501 Büro: Haydnstraße 2, 80336 München – E-Mail: [email protected] – Internet: www.baron-consult.de Finanzamt München I, USt-ID: DE 216791626 Bankverbindung: Münchner Bank eG, IBAN: DE84 7019 0000 0000 3389 15, BIC: GENODEF1M01 2014-08-17 1.4 Seite 2 Anschließend erstellen Sie ein neues Zertifikat unter Bezug auf den Thumbprint des Zertifikats, welches erneuert warden soll. Get-ExchangeCertificate -thumbprint “D6EE5A61945268CC621218D4493C5C6291DFE11F” | NewExchangeCertificate Wenn das Zertifikat mit dem privaten Schlüssel exportiert werden soll, z. B. um es zu sichern oder auf einem anderen Server zu installieren, muss das Zertifikat mit dem PrivateKeyExportable-Parameter erstellt werden: New-ExchangeCertificate -PrivateKeyExportable $true Wenn das bestehende Zertifikat ein Standard-Zertifikat für SMTP ist erscheint der folgende Inhalt: „Confirm Overwrite existing default SMTP certificate, ‘D6EE5A61945268CC621218D4493C5C6291DFE11F’ (expires 9/11/2014 8:21:12 AM), with certificate ’6DA56740609DBA19D6A43A9C76617D270B3D9E3A’ (expires 1/28/2009 7:37:31 AM)? [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is “Y”):” 1.5 Nach der Eingabe von “Y” wird das Zertifikat erstellt. Sie können dies mit dem bereits bekannten Befehl überprüfen: Get-ExchangeCertificate -thumbprint “6DA56740609DBA19D6A43A9C76617D270B3D9E3A” | fl 1.6 Wenn das alte Zertifikat für die Dienste IIS, POP, IMAP und SMTP gültig war werden Sie feststellen, dass IIS jetzt fehlt. Sie können diesen Dienst manuell hinzufügen (WICHTIG: Sie können jedoch keine bereits hinzugefügten Dienste wieder entfernen): Enable-ExchangeCertificate -thumbprint “6DA56740609DBA19D6A43A9C76617D270B3D9E3A” -services IIS 1.7 Prüfen Sie anschließend, ob das neue Zertifikat funktioniert. Sie können dann das alte Zertifikat mit dem Remove-Befehl löschen: Remove-ExchangeCertificate -thumbprint “ D6EE5A61945268CC621218D4493C5C6291DFE11F” 2. Verteilen des Zertifikats mittels Gruppenrichtlinie 2.1 Öffnen Sie die Gruppenrichtlinienverwaltung (gpedit) 2.2 Rechtsklick auf den Namen der Domain -> “Gruppenrichtlinienobjekt hier erstellen oder verknüpfen” 2014-08-17 Seite 2 2.3 Vergabe eines aussagekräftigen Namen wie “Exchange selbstsigniertes Zertifikat verteilen” 2.4 Rechtsklick auf die erstellte Gruppenrichtlinie -> „Bearbeiten“ 2.5 Wechseln Sie zur Einstellung „Computerkonfiguration“ -> „Richtlinien“ -> „Windows-Einstellungen“ -> „Sicherheitseinstellungen“ -> „Richtlinien für öffentliche Schlüssel“. 2.6 Klicken Sie rechts auf „Vertrauenswürdige Stammzertifizierungsstellen“ -> „Importieren“. Wählen Sie anschließend das selbsterstellte Zertifikat aus (\\Servername\c$\Servername.cer). 2.7 Belassen Sie die Einstellungen auf der nächsten Seite die Option „Alle Zertifikate in folgendem Speicher speichern” -> „Weiter“ -> „Fertigstellen“ Hinweis: Die Gruppenrichtlinie wird angewandt, - nach Neustart des jeweiligen PC - nach Neuanmeldung des Benutzers - durch den Befehl “gpupdate /force”