Erneuerung selbsterstellter Zertifikate für Microsoft Exchange

Technik-Bulletin
Subjekt:
gültig für:
Problem:
Stand:
Antwort:
Erneuerung selbsterstellter Zertifikate für Microsoft Exchange
Exchange 2007, Exchange 2010
Ein selbsterstelltes Zertifikat läuft demnächst ab oder ist gar bereits abgelaufen. Im letzteren Fall erhalten Sie eine Meldung vom E-Mail-Client, der sich
mit dem Exchange-Server verbinden möchte.
August 2014
Das Setup von Exchange 2007 und Exchange 2010 erstellt selbsterzeugte Zertifikate für eine geschützte Kommunikation mit Diensten wie SMTP, IMAP,
POP, IIS und UM. Im Exchange wird das Zertifikat für ein Jahr, im Exchange
2010 für fünf Jahre ausgestellt.
Obwohl selbsterstellte Zertifikate problemlos funktionieren sollten sie nur für
die interne SMTP-Kommunikation zwischen Hub Transport Servers bzw. zwischen Hub Transport und Edge Transport Servers verwendet werden. Es wird
nicht empfohlen, sie für die Client-Kommunikation in Produktivsystemen außerhalb des eigenen Netzwerks einzusetzen. Für die meisten Anwendungsbereiche wird man sich für (kostenpflichtigen) Zertifikate von Drittanbieter-CAs
entscheiden.
Wenn selbsterstellte Zertifikate dennoch über längere Zeit verwendet werden
sollen, müssen sie regelmäßig erneuert werden. Die folgende Anleitung erneuert das Zertifikat auf dem Beispiel-Server muster.beispiel.com, einem Server
mit den installierten Rollen Client Access Server (CAS) und Hub Transport
(HAT):
1.
Verlängern des Zertifikats
1.1
Öffnen Sie Microsoft Exchange Server Shell. Geben Sie dort den folgenden Befehl ein, um sich einen Überblick über die installierten Zertifikate zu verschaffen:
Get-ExchangeCertificate
1.2
Um weitere Details für die Zertifikate zu erhalten setzten Sie den Befehl
jetzt mit dem Parameter „fl“ ab:
Get-ExchangeCertificate -domain muster.beispiel.com | fl
1.3
Notieren Sie sich anschließend die Dienste, für die das zu erneuernde
Zertifikat gültig ist., z. B. POP, IMAP, IIS, SMTP
Volker Baron (Dipl.-Geograph / IT-Systemelektroniker) – Tel.: +49 89 18923500 – Fax: +49 89 18923501
Büro: Haydnstraße 2, 80336 München – E-Mail: [email protected] – Internet: www.baron-consult.de
Finanzamt München I, USt-ID: DE 216791626
Bankverbindung: Münchner Bank eG, IBAN: DE84 7019 0000 0000 3389 15, BIC: GENODEF1M01
2014-08-17
1.4
Seite 2
Anschließend erstellen Sie ein neues Zertifikat unter Bezug auf den
Thumbprint des Zertifikats, welches erneuert warden soll.
Get-ExchangeCertificate -thumbprint
“D6EE5A61945268CC621218D4493C5C6291DFE11F” | NewExchangeCertificate
Wenn das Zertifikat mit dem privaten Schlüssel exportiert werden soll,
z. B. um es zu sichern oder auf einem anderen Server zu installieren,
muss das Zertifikat mit dem PrivateKeyExportable-Parameter erstellt
werden:
New-ExchangeCertificate -PrivateKeyExportable $true
Wenn das bestehende Zertifikat ein Standard-Zertifikat für SMTP ist
erscheint der folgende Inhalt:
„Confirm Overwrite existing default SMTP certificate,
‘D6EE5A61945268CC621218D4493C5C6291DFE11F’ (expires
9/11/2014 8:21:12 AM), with certificate
’6DA56740609DBA19D6A43A9C76617D270B3D9E3A’ (expires
1/28/2009 7:37:31 AM)?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend
[?] Help
(default is “Y”):”
1.5
Nach der Eingabe von “Y” wird das Zertifikat erstellt. Sie können dies
mit dem bereits bekannten Befehl überprüfen:
Get-ExchangeCertificate -thumbprint
“6DA56740609DBA19D6A43A9C76617D270B3D9E3A” | fl
1.6
Wenn das alte Zertifikat für die Dienste IIS, POP, IMAP und SMTP
gültig war werden Sie feststellen, dass IIS jetzt fehlt. Sie können diesen
Dienst manuell hinzufügen (WICHTIG: Sie können jedoch keine bereits
hinzugefügten Dienste wieder entfernen):
Enable-ExchangeCertificate -thumbprint
“6DA56740609DBA19D6A43A9C76617D270B3D9E3A” -services IIS
1.7
Prüfen Sie anschließend, ob das neue Zertifikat funktioniert. Sie können
dann das alte Zertifikat mit dem Remove-Befehl löschen:
Remove-ExchangeCertificate -thumbprint “
D6EE5A61945268CC621218D4493C5C6291DFE11F”
2.
Verteilen des Zertifikats mittels Gruppenrichtlinie
2.1
Öffnen Sie die Gruppenrichtlinienverwaltung (gpedit)
2.2
Rechtsklick auf den Namen der Domain -> “Gruppenrichtlinienobjekt hier erstellen oder verknüpfen”
2014-08-17
Seite 2
2.3
Vergabe eines aussagekräftigen Namen wie “Exchange selbstsigniertes Zertifikat verteilen”
2.4
Rechtsklick auf die erstellte Gruppenrichtlinie -> „Bearbeiten“
2.5
Wechseln Sie zur Einstellung „Computerkonfiguration“ -> „Richtlinien“ -> „Windows-Einstellungen“ -> „Sicherheitseinstellungen“
-> „Richtlinien für öffentliche Schlüssel“.
2.6
Klicken Sie rechts auf „Vertrauenswürdige Stammzertifizierungsstellen“ -> „Importieren“. Wählen Sie anschließend das selbsterstellte Zertifikat aus (\\Servername\c$\Servername.cer).
2.7
Belassen Sie die Einstellungen auf der nächsten Seite die Option
„Alle Zertifikate in folgendem Speicher speichern” -> „Weiter“ ->
„Fertigstellen“
Hinweis: Die Gruppenrichtlinie wird angewandt,
- nach Neustart des jeweiligen PC
- nach Neuanmeldung des Benutzers
- durch den Befehl “gpupdate /force”