Über die Konfiguration von Zertifikaten auf Exchange Servern habe ich ja schon mehrfach geschrieben, meistens habe ich da allerdings die Front End Zertifikate behandelt. Exchange Server verfügen aber auch über ein Back End welches mit einem selbst signierten Zertifikat konfiguriert ist. Das Back End Zertifikat muss nicht gegen ein öffentlich gültiges Zertifikat oder durch ein Zertifikat einer eigenen PKI ersetzt werden. Das selbst signierte Zertifikat reicht für das Back End völlig aus. Wichtig ist allerdings, dass das Back End Zertifikat mit dem Anzeigenamen „Microsoft Exchange“ gültig und vorhanden ist, andernfalls starten beispielweise die Webservices wie OWA und ECP nicht:
Das Zertifikat „Microsoft Exchange“ ist im IIS-Manager an die Webseite „Exchange Back End“ gebunden:
In der Ereignisanzeige weisen Exchange Server auf ablaufende Zertifikate hin, eine Meldung über ein ablaufendes Zertifikat sieht beispielsweise wie folgt aus:
Hier einmal der Text der Meldung:
Log Name: Application
Event ID: 12018
Source: MSExchangeTransport
The STARTTLS certificate will expire soon: subject: FQDN, thumbprint: THUMBPRINT, expires: 08.03.2023 11:49:08. Run the New-ExchangeCertificate cmdlet to create a new certificate.
Das Zertifikat „Microsoft Exchange“ ist 5 Jahre lang gültig und sollte rechtzeitig verlängert werden. Falls der Zertifikat versehentlich gelöscht wurde oder aus anderem Grund nicht mehr verfügbar ist, dann bitte hier weiterlesen:
Falls die Erneuerung des Zertifikats ansteht, lässt sich ein neues Zertifikat mit einem kleinen Script recht schnell ausstellen und für das Exchange Back End konfigurieren, Das Script habe ich auf GitHub veröffentlicht:
Das Script muss nur auf den jeweiligen Exchange Server kopiert und ausgeführt werden. Das Script stellt ein neues selbst signiertes Zertifikat auf Basis des Zertifikats „Microsoft Exchange“ aus, kopiert es in den Speicher für Vertrauenswürdige Stammzertifizierungsstellen und weißt es zum Schluss der Webseite „Exchange Back End“ im IIS zu.
Nachdem das Script ausgeführt wurde, wird es bereits durch Exchange verwendet. Es bietet sich an bei Gelegenheit den IIS mittels „iisreset“ neu zu starten. Wenn es keine Probleme gibt, kann das alte Zertifikat gelöscht werden. Das Script löscht das alte Zertifikat nicht automatisch. Falls es Probleme mit dem Erneuern des Zertifikats gibt, dann schickt die Fehlermeldungen gerne per Kontaktformular oder direkt auf GitHub.