Windows-Praxis: Active-Directory-Zertifikatsdienste einsetzen

Exchange-Zertifikat installieren

Exchange Server 2010 setzt weit stärker auf SSL-gesicherte Verbindungen und Verschlüsselung als die Vorgänger. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbst signiertes Zertifikat aus und verwendet dieses für die einzelnen Verschlüsselungen. Das Problem dabei ist, dass kein Client dieser Zertifizierungsstelle vertraut - die Folge sind Zertifikatsfehlermeldungen. Sie lösen dieses Problem, indem Sie entweder auf eine interne Zertifizierungsstelle auf Basis der Active-Directory-Zertifikatsdienste setzen oder ein Zertifikat eines Drittherstellers verwenden.

Um dem Server ein Zertifikat zuzuweisen, klicken Sie in der Exchange-Verwaltungskonsole auf Serverkonfiguration und dann auf den Server, dessen Zertifikat Sie verwalten wollen. Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, verwenden Sie zunächst Neues Exchange-Zertifikat im Kontextmenü des Servers.

Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die Active-Directory-Zertifikatdienste oder über das Web-Frontend des Drittherstellers anfordern. In der Exchange-Verwaltungs-Shell können Sie sich das Zertifikat über

get-exchangecertificate

ebenfalls anzeigen lassen.

Im ersten Schritt des Assistenten geben Sie den Namen ein, mit dem das Zertifikat in der Konsole angezeigt werden soll. Auf der nächsten Seite können Sie festlegen, dass Sie auch untergeordnete Domänen mit dem gleichen Zertifikat anbinden wollen.

Auf der nächsten Seite wählen Sie aus, für welche Art der Absicherung Sie das Zertifikat benötigen. In den meisten Fällen verwenden Sie Client-Zugriffserver (Outlook Web App). Sie können an dieser Stelle aber auch weitere Dienste auswählen, denen Sie später das Serverzertifikat zuweisen möchten. Über den Assistenten geben Sie anschließend den Namen des internen Exchange-Servers an und ebenso den Namen, über den der Server aus dem Internet erreichbar sein soll. Achten Sie darauf, dass der externe Name mit der URL übereinstimmt, die Anwender aus dem Internet nutzen. Anderenfalls erhalten die Anwender eine Zertifikatewarnung.

Nach der Konfiguration für Outlook Web App gehen Sie auch alle anderen Menüpunkte durch. Alle Punkte, die Sie hier einstellen, sind später im Zertifikat berücksichtigt. Wichtig ist die Auswahl, dass Outlook Web App aktiv ist, und Exchange ActiveSync, wenn Sie Smartphones anbinden wollen.

Auf der nächsten Seite zeigt Ihnen der Assistent an, welche Domänen im Zertifikat für den Zugriff hinterlegt sind. Sehr wichtig an dieser Stelle ist, dass der Name, mit dem der Server aus dem Internet erreichbar ist, als allgemeiner Name hinterlegt und damit fett angezeigt wird. Ansonsten erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Name des Zertifikats nicht mit der URL für den Zugriff übereinstimmt. Dieser Bereich ist vor allem für die Verwendung von Outlook Anywhere sehr wichtig. Wenn ein Zertifikatsfehler in Outlook Web App erscheint, können Anwender diesen ohne große Auswirkungen bestätigen, Outlook verweigert allerdings die Verbindung bei solchen Fehlern. Auf der nächsten Seite geben Sie noch Daten zu dem Zertifikat und Ihrer Organisation an und speichern anschließend die Anforderung als Textdatei auf dem Server. Mit dieser Datei fordern Sie das Zertifikat anschließend an.

Sodann wählen Sie die Option Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein auf der Webseite der Zertifizierungsstellen und fügen die Daten der Anforderung ein. Wählen Sie als Zertifikatvorlage Webserver und klicken dann auf Einsenden.