Alle Jahre wieder habe ich das selbe Problem, das Zertifikat bei unseren Kunden läuft aus und alle Jahre wieder suche ich jemanden der mir dabei behilflich ist diese Aufgabe umzusetzen. Nun denke ich ist es langsam an der Zeit, das mal selbst zu erlernen aus diesem Grund suche ich nach jemandem, der mich bei der Hand nimmt und mir Schritt für Schritt erklärt was hier zu tun ist. Soweit ich weiß muss da eine Zertifikatsanforderung erstellt werden, dann muss man bei einem Anbieter (SSL2buy) ein Zertifikat erwerben und dann verließen Sie Ihn 😖. Ich würde mich über Nachrichten von euch freuen..
lieben Gruß und schöne Feiertage
Daniel Lehmann
Soweit ich weiß muss da eine Zertifikatsanforderung erstellt werden
Das ist schon mal grundsätzlich richtig. Je nach zertifizierungsstelle muss man das sogar nur einmal machen und kann danach jedes Jahr dasselbe Schlüsselmaterial verwenden. Spricht man spart sich diesen Schritt die weiteren Jahre.
- CSR erstellen. Hiermit geht das für Anfänger sicherlich am einfachsten: https://www.digicert.com/easy-csr/exchange2010.htm da wird dir der notwendige powershell-Befehl zusammengestellt. Den du dann auf deinem Exchange in der ems ausführst.
- die vom obigen Befehl erstellte csr Datei reichst du dann bei einem Zertifikats-Reseller oder direkt einer Zertifizierungsstelle ein. Ich empfehle https://www.psw-group.de/ssl-zertifikate/multidomain-ssl-zertifikate/domainvalidiert/ weil du dort eine normale Rechnung erhältst, eine Auswahl verschiedener CAs hast und die Preise sind auch vernünftig.
- du wirst im Zuge der Zertifikatsbestellung die Ausstellung des Zertifikats bestätigen müssen. Entweder per Mail (einfachste Variante) oder per DNS Eintrag in deiner öffentlichen Zone.
- sobald du 3. erledigt hast erhältst du innerhalb von ein paar Minuten das signierte neue Zertifikat.
- dieses signierte Zertifikat importierst du per ems in deinen Exchange: Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('C:\Certificates\dein-neues-zertifikat.crt'))
- danach weist du dieses Zertifikat mittels enable-exchangecertificate noch den entsprechenden Diensten zu.
- nach einem Test ob alles funktioniert, kannst du das alte Zertifikat mittels Remote-exchangecertificate löschen.
eigentlich ganz einfach. Weiß immer gar nicht, warum das so schwer ist für viele. :)
Schöne Feiertage noch
Norbert
PS: ich würde kein wildcard Zertifikat wählen. Kostet meist mehr, macht mehr Aufwand bei der korrekten Konfiguration (imap4, Pop3), zeigt meist nur, dass man seine exchangekonfiguration nicht versteht weil man die notwendigen Namen nicht kennt und im Falle eines Austauschs muss ich das Zertifikat ja an allen Servern auf denen es gebunden ist anfassen. Also nur jede Menge Aufwand für wenig Nutzen. Alternativ kannst du dir natürlich auch das lets encrypt Skript von Franky anschauen.
https://www.frankysweb.de/zertifikat-von-lets-encrypt-und-exchange-server-2019/