Zertifikate von einer Active Directory integrierten Zertifizierungsstelle lassen sich einfach per MMC anfordern. Wer aber ein Zertifikat kaufen möchte, benötigt eine Zertifikatsanforderung die bei der CA eingereicht werden kann. ECP bietet leider wenige Möglichkeiten um die Anforderung und das spätere Zertifikat zu konfigurieren. Der Weg über die Exchange Shell funktioniert deutlich besser. Der Befehl ist etwas länger, daher eine kleine Erklärung dazu:
New-ExchangeCertificate –Server "Servername" –GenerateRequest –FriendlyName "Exchange Zertifikat" –PrivateKeyExportable $true –SubjectName "c=LÄNDERCODE, s=BUNDESLAND, l=STADT, o=FIRMA, ou=ORGANISATIONSEINHEIT, cn=ALLEGMEINERNAME" –DomainName outlook.frankysweb.de,autodiscover.frankysweb.de –RequestFile "\\SERVERNAME\C$\Anforderung.csr"
-Friendlyname ist der Anzeigename des Zertifikats in ECP, der Name ist frei wählbar
-SubjectName bestimmt die Eigenschaften des Zertifikats:
- „c“ steht für den Ländercode, beispielsweise „DE“
- „s“ steht für das Bundesland
- „o“ steht für die Firma
- „ou“ steht für die Organisationseinheit (IT, Exchange, EDV..)
- „cn“ steht für den allgemeinen Namen, der allgemeine Name sollte den FQDN für OWA enthalten
-DomainName: Hier werden alle alternativen Namen für das Zertifikat eingetragen, sowie auch der allgemeine Name, im Normalfall werden hier nur Autodiscover und eben der Zugriffsname für Outlook, OWA, ECP, ActiveSync etc benötigt:
- outlook.frankysweb.de
- autodiscover.frankysweb.de
-Requestfile: Eine Freigabe auf der die Anforderung gespeichert werden kann
Die Anforderung kann jetzt bei einer CA eingereicht werden. Sobald das Zertifikat von der CA ausgestellt wurde, kann die Anforderung abgeschlossen werden:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certificate.cer -Encoding byte -ReadCount 0))
Zum Abschluss muss das neue Zertifikat den Exchange Diensten zugewiesen werden, entweder der Thumbprint des eben hinzugefügten Zertifikats wird für das CMDlet „enable-ExchangeCertificate“ verwendet, oder es wird bequem das EAC verwendet. Hier der Weg über die Shell:
Enable-ExchangeCertificate -Thumbprint "thumbprintvonimport" -Services POP,IMAP,SMTP,IIS