Website-Icon Frankys Web

Exchange 2013: Zertifikatsanforderung für öffentliche CA erstellen

Zertifikate von einer Active Directory integrierten Zertifizierungsstelle lassen sich einfach per MMC anfordern. Wer aber ein Zertifikat kaufen möchte, benötigt eine Zertifikatsanforderung die bei der CA eingereicht werden kann. ECP bietet leider wenige Möglichkeiten um die Anforderung und das spätere Zertifikat zu konfigurieren. Der Weg über die Exchange Shell funktioniert deutlich besser. Der Befehl ist etwas länger, daher eine kleine Erklärung dazu:

New-ExchangeCertificate –Server "Servername" –GenerateRequest –FriendlyName "Exchange Zertifikat" –PrivateKeyExportable $true –SubjectName "c=LÄNDERCODE, s=BUNDESLAND, l=STADT, o=FIRMA, ou=ORGANISATIONSEINHEIT, cn=ALLEGMEINERNAME" –DomainName  outlook.frankysweb.de,autodiscover.frankysweb.de –RequestFile "\\SERVERNAME\C$\Anforderung.csr"

-Friendlyname ist der Anzeigename des Zertifikats in ECP, der Name ist frei wählbar

-SubjectName bestimmt die Eigenschaften des Zertifikats:

-DomainName: Hier werden alle alternativen Namen für das Zertifikat eingetragen, sowie auch der allgemeine Name, im Normalfall werden hier nur Autodiscover und eben der Zugriffsname für Outlook, OWA, ECP, ActiveSync etc benötigt:

-Requestfile: Eine Freigabe auf der die Anforderung gespeichert werden kann

Die Anforderung kann jetzt bei einer CA eingereicht werden. Sobald das Zertifikat von der CA ausgestellt wurde, kann die Anforderung abgeschlossen werden:

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certificate.cer -Encoding byte -ReadCount 0))

Zum Abschluss muss das neue Zertifikat den Exchange Diensten zugewiesen werden, entweder der Thumbprint des eben hinzugefügten Zertifikats wird für das CMDlet „enable-ExchangeCertificate“ verwendet, oder es wird bequem das EAC verwendet. Hier der Weg über die Shell:

Enable-ExchangeCertificate -Thumbprint "thumbprintvonimport" -Services POP,IMAP,SMTP,IIS
Die mobile Version verlassen