Vorgehensweisen und Tools

Exchange Server 2013 - Exchange-Zertifikate richtig einsetzen

Der richtige Umgang mit Zertifikaten unter Exchange 2013 spart nachträgliche Arbeit und Support. Dieser Praxisbeitrag schildert empfehlenswerte Vorgehensweisen und beschreibt hilfreiche Tools.

Exchange Server 2013 setzt, wie die Vorgängerversionen, auf SSL-gesicherte Verbindungen und Verschlüsselung. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbst signiertes Zertifikat aus. In produktiven Umgebungen sollten diese aber gegen das Zertifikat einer internen Zertifizierungsstelle ausgetauscht oder durch ein Zertifikat eines Drittherstellers ersetzt werden.

Daneben haben Unternehmen noch die Möglichkeit, Exchange ActiveSync-Geräte, also Smartphones und Tablets, über zertifikatsbasierte Authentifizierung an den Server anzubinden. Das erspart den Anwendern einiges an Konfigurationsarbeit und der IT-Abteilung den damit verbundenen Support. In diesem Beitrag stellen wir Ihnen einige Möglichkeiten und Tools zur Verfügung, wie Sie solche Konfigurationen vornehmen.

Erste Schritte mit Exchange-Zertifikaten

Sie können bei einer Migration zu Exchange 2013 auch das vorhandene Zertifikat Ihrer Exchange-Server weiterverwenden. Dazu exportieren Sie das Zertifikat in der Zertifikatsverwaltung oder in den Internetinformationsdiensten (IIS) in eine .pfx-Datei. Diese können Sie in Exchange 2013 wieder importieren. In Exchange 2013 haben Sie die Möglichkeit, Serverzertifikate direkt in der webbasierten Exchange-Verwaltungskonsole zu verwalten. Um dem Server ein Zertifikat zuzuweisen, klicken Sie in der Exchange-Verwaltungskonsole auf Server und dann auf Zertifikate. Hier stehen alle notwendigen Optionen zur Verfügung.

Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, klicken Sie in der Konsole zunächst auf das Pluszeichen. Der Assistent erstellt eine Zertifikatsanforderung die Sie dann entweder über die Active-Directory-Zertifikatsdienste oder über das Web-Front-End des Drittherstellers anfordern. Danach importieren Sie das ausgestellte Zertifikat auf dem Server und installieren dieses über den Assistenten.

Exchange Certificate Assistant

Auf der Seite FrankysWeb.de finden Sie ein PowerShell-Skript samt grafischer Anleitung, mit dem Sie schnell und einfach über eine interne Zertifizierungsstelle Zertifikate für Exchange ausstellen können. Sobald Sie das Powershell-Skript konfiguriert und ihm eine passende Zertifikatvorlage zugewiesen haben, rufen Sie es mit .\ExchangeCertificateAssistant.ps1 auf. Danach können Sie über einen Assistenten das Zertifikat für Exchange automatisiert ausstellen und auch gleich mit den Exchange-Diensten verbinden lassen. Die Anleitung auf der Seite erklärt die einfache Vorgehensweise. Der Vorteil des Tools ist, dass Sie mit ihm auch sehr schnell neue Zertifikate ausstellen können, ohne manuell vorgehen zu müssen.

In der Exchange-Verwaltungs-Shell können Sie sich das Zertifikat über get-exchangecertificate anzeigen lassen. Es gibt aber auch die Möglichkeit, über die PowerShell Exchange-Zertifikate des lokalen Zertifikatespeichers zu aktivieren. Dazu verwenden Sie das CMDlet Enable-ExchangeCertificate. Die Syntax dazu ist:

Enable-ExchangeCertificate -Thumbprint <String> [-Server <ServerIdParameter>] <Parameter>

Beispiel:

Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IIS

Die ausführliche Syntax finden Sie auch im TechNet.