Exchange 2010 mit offiziellem SAN Zertifikat betreiben
Im Artikel “
Exchange 2007 mit offiziellem SAN Zertifikat einrichten” habe wir ja schon beschrieben wie man Exchange 2007 mit einem günstigen offiziellen SAN Zertifikat betreibt. Jetzt ist Exchange 2010 offiziell verfügbar und da wird es Zeit diese Information auch für dieses System bereitzustellen. Vorweg: es ist einfacher geworden. Zur Konfiguration ist nur noch einen Powershell Befehl notwendig und den Rest kann man jetzt GUI basiert erledigen. Aber lesen Sie selber:
Mit Powershell Zertifikatsrequest erzeugen
Wir starten in dem wir auf dem Exchange 2010 Server die “Exchange Management Shell” aufrufen (bitte bit Administratoren Rechten). In ihr erzeugen wir mit dem Powershell CmdLet New-ExchangeCertificate einen Zertifikatsrequest der außer dem Hauptnamen hier “mmas.rachfahl.de” auch noch drei weitere Namen enthalt: “vexchange-1.rachfahl.de” (interner Namen mit ADS Domaine, “vexchange-1” (ohne interne Domaine) und “autodiscovery.rachfahl.de” enthält. Hier der Befehl für unser SAN-Zertifikat:
$ZertifikatReq = New-ExchangeCertificate -GenerateRequest -SubjectName "cn=mmas.rachfahl.de, o=Rachfahl IT-Solutions GmbH u. Co. KG, c=DE" -DomainName mmas.rachfahl.de, vexchange-1.rachfahl.de, vexchange-1, autodiscover.rachfahl.de -PrivateKeyExportable $True
Set-Content -path "C:\mmas.rachfahl.de.req" -Value $ZertifikatReq
Request bei Zertifizieren einreichen
Die erzeugte Datei (in diesem Beispiel “C:\mmas.rachfahl.de.req”) öffnen wir mit Notepad, kopieren den Inhalt in die Zwischenablage und fügen ihn in das entsprechende Formular bei Ihrem SSL Provider ein (bei uns geschieht das 
natürlich über unsere
Resellerseite des Providers GoDaddy). Wenn der Request akzeptiert wird bekommen Sie bei GoDaddy eine Zusammenfassung des Zertifikats angezeigt. Bitte prüfen Sie hier alle Angaben noch einmal. Nach der Bestätigung versucht nun GoDaddy die Legalität des Antrags zu prüfen. Dies geschieht in der Regel über eine Mail an den Inhaber der Domain. Wer der Besitzer ist ermittelt GoDaddy aus dem RIP Eintrag der Domaine. Deshalb ist es ganz vorteilhaft vor dem Antrag beim DENIC “www.denic.de” nachzuschauen wer und vorallem welche E-Mail Adresse dort eingetragen ist. An diese E-Mailadresse sendet dann GoDaddy einen Link die dann bestätigt werden muss. Daraufhin wir das angeforderte Zertifikat generiert welches man dann als ZIP Archiv herunterladen kann.
Zwischenzertifizierungsstelle und Zertifikat installieren
Nach dem Auspacken des Archiv findet man zwei Dateien auf der Platte: das eigentliche Zertifikat und und eine Zwischenzertifizierungsstelle. Die letztere muss man zuerst in den
Zertifikatsspeichern installieren. Hierzu öffnet man die MMC (Microsoft Management Console) und fügt über “Datei” -> ”Snapin hinzufügen/entfernen” das Zertifikate Snapin für das Computerkonto hinzu (Achtung: hierzu benötigen Sie Administrator Rechte). Jetzt rechtsklicken Sie auf “Zwischenzertifizierungsstelle” und importieren mittels “Aufgaben” –> “Importieren” die GoDaddy Datei. Danach können wir das eigentliche Zertifikat importieren. Dazu rufen Sie die Exchange-Verwaltungskonsole auf, klicken im linken Fenster auf “Serverkonfiguration” und wählen dann im mittleren Bereich unter Exchange-Zertifikate ihren Zertifikatsrequest aus. Jetzt klicken Sie im rechten Fenster auf “Ausstehende Anforderung abschließen …” 
und es öffnet sich ein Wizard. Hiermit wählen Sie das Zertifikat aus (vorher stellen sie Dateiauswahlbox auf alle Dateitypen). Die “Exchange Management Console” führt darauf den Import durch. Nach erfolgreichem Import sehen Sie eine ähnliches Fenster wie in unserem Screenshot. In unserem Beispiel wurde das
Zertifikat nur für POP3 und IMAP aktiviert so das wir jetzt noch die Verwendung für SSL einschalten müssen. Dazu wählen wir das Zertifikat aus und klicken dann im rechten Bereich auf “Dem Zertifikat Dienste zuordnen…”. In dem Wizard wählen wir der Server und können dann im nächsten Fenster die Internetinformationdienste hinzufügen. Ein Klick auf Fertig und der Exchange Server 2010 verwendet ab jetzt das neue Zertifikat.
Zertifikat testen
Im letzen Schritt sollten Sie die Verwendung des Zertifikats überprüfen. Sie können dies tun in dem Sie entweder die interne Outlook Web Access Seite aufrufen (in unserem Beispiel währe das z.B.: https://vexchange-1/owa ) oder die externe OWA Seite (in unserem Beispiel mit https://mmas.rachfahl.de/owa).
Weitere interessante Informationen zum Thema Exchange 2010 und der Client Access Rolle findet man unter http://technet.microsoft.com/en-us/library/bb310795.aspx.
Über den Author: Dipl. Ing. Carsten Rachfahl ist seit mehr als 20 Jahren in der IT-Branche tätig. Er ist einer der geschäftsführenden Gesellschafter der Rachfahl IT-Solutions GmbH & Co. KG und für den technischen Bereich verantwortlich.
Andre Ebert | 22. Januar 2010 | Antworten
Führt folgender Befehl (natürlich nicht mit Beispiel- Daten) zu einer gültigen Anforderung?:
New-ExchangeCertificate -GenerateRequest -SubjectName “cn=mail.domain.de, o=Firma, c=DE” -DomainName mail.domain.de, server.domain.local, server, autodiscover.domain.de -PrivateKeyExportable $True –Path c:\name.cer
Bei GoDaddy habe ich gefunden, dass UCC Zertifikate die richtigen sind für meine Anforderung. Aber es steht auch dort, dass dies nur für Domains gilt, die einen Stamm haben. In meinem Fall habe ich den internen FQDN des Exchange Servers “server.domain.local”, der hat mit domain.de keinen gemeinsamen Stamm und wenn ich GoDaddy richtig interpretiere, gibt es kein solches Zertifikat.
Was muss ich also machen?
Danke für Ihre Mühe.
Carsten Rachfahl | 27. Januar 2010 | Antworten
Hallo Herr Ebert,
ja Sie können den Befehl so absetzen. Die “.local” Domain ist keine offizielle Topleveldomain. Deswegen findet GoDaddy niemanden der für diese Domain eingetragen ist und schickt Ihnen eine Mail in der Sie als Antragssteller bestätigen dass die Domain korrekt ist. Lesen Sie auch noch mal die Post da ich sie noch um einige Informationen ergänzt habe.
MfG Carsten Rachfahl