Exchange 2007 mit offiziellem SAN Zertifikat einrichten

exchange20071Wenn man bei Exchange 2007 Outlook Web Access, Exchange Activesync und Outlook Anywhere benutzen möchte, so ist ein offizielles SAN Zertifikat (ein Zertifikat welches mehrere Namen enthält) unabdingbar. Dieser Artikel beschreibt, wie man für einen Exchange 2007 Server ein solches Zertifikat beantragt (z. B. über unsere Resellerseite bei GoDaddy) und es dann installiert.

Öffnen sie auf dem Exchange 2007 Server die Exchange-Verwaltungsshell. Mit dem Powershell Cmdlet New-ExchangeCertificate erzeugt man einen Certificate Signing Request (CSR). Für unseren Beispielserver lautet der vollständige Befehl:

New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mmas.rachfahl.de, OU=EDV, O=Rachfahl IT-Solutions GmbH & Co. KG, L=Hallenberg, S=NRW, C=DE" -DomainName mmas.rachfahl.de -FriendlyName "Exchange SAN Zertifikat" -privatekeyExportable:$true -Path c:mmas.rachfahl.de.csr

Den so erstellten Certificate Signing Request öffnet man mit Notepad, kopiert den Inhalt in die Zwischenablage und fügt Ihn in das CSR Request Formular auf der GoDaddy Zertifikatsseite ein.

Im nächsten Schritt können weitere Namen, auf welche das Zertifikat ebenfalls ausgestellt werden soll, ergänzt werden. In unserem Beispiel ergänzen wir die internen Namen des Exchange Servers (mit und ohnen Domaine) zu autodiscover.rachfahl.de:

vexchange1
vexchange1.it-solutions.de
autodiscover.rachfahl.de

Danach erfolgt eine Überprüfung des SSL Antrags. Hierzu wird in den meisten Fällen eine Mail an den im Denic hinterlegten Domaineninhaber gesendet. Dieser muß dann die Legimität des Antrags über eine in der Mail befindlichen URL bestätigen. Nachdem die Bestätigung erfolgt ist, wird der Antragssteller benachrichtigt und er kann eine ZIP-Datei herunterladen. In diesem Archive befinden sich zwei Dateien (siehe Screenshot).inhalt-zertifikat-archive Es handelt sich um das eigenliche Zertifikat in unserem Beispiel die Datei “mmas.rachfahl.de.crt” und ein Zertifikat für die Zwischenzertifizierungsstelle in unserem Bespiel die Datei “sf_iis_intermediates.p7b”. Beide Dateien entpacken wir in das Verzeichnis C:.
Achtung: bevor das SAN Zertifikat installiert wird muß unbedingt die Zwischenzertifizierungsstelle mit Hilfe des MMC Plugins Zertifikate importiert werden. Beim Öffnen des Plugins Zertifikate wählen sie dazu “Computerkonto” aus, dann öffnen sie die “Zwischenzertifizierungsstellen” und klicken mit der rechten Maustaste auf “Zertifikate”. Jetzt wählen sie “Alle Aufgaben” und “Importieren…” aus und importieren die Datei “c:sf_iss_intermediates.p7b”.

Dannach kann das eigentliche SAN Zertifikat mittels des Powershell Cmdlets Import-ExchangeCertificate in den Zertifikatsspeicher importiert werden.

Import-ExchangeCertificate -Path c:mmas.rachfahl.de.crt

Als Ausgabe des Cmdlets wird eine Thumbprint angezeigt, welche das Zertifikat in dem Zertifikatsspeicher eindeutig identifiziert. Diesen verwenden wir letztendlich mit dem Powershell Cmdlet Enable-ExchangeCertificate um Exchange mitzuteilen, dass er diese Zertifikat zum Verschlüsseln der SSL-Verbindungen benutzen soll.

Enable-ExchangeCertificate -Thumbprint 2CB18AB4F489F2C45BD5E67E842DE31D947BF5DC -Services IIS

Im letzten Schritt prüfen wir durch Aufruf der “Outlook Web Access” Seite (in unserem Beispiel: https://mmas.rachfahl.de/owa ) in einem Webbrowser, ob das neue Zertifikat benutzt wird.

Teilen:

Carsten Rachfahl

Dipl. Ing. Carsten Rachfahl ist seit mehr als 25 Jahren in der IT-Branche tätig. Er ist einer der geschäftsführenden Gesellschafter der Rachfahl IT-Solutions GmbH & Co. KG und für den technischen Bereich verantwortlich.

3 Kommentare:

  1. Pingback:Exchange 2010 mit offiziellem SAN Zertifikat betreiben « Technikblog

  2. Pingback:Exchange 2010 mit offiziellem SAN Zertifikat betreiben « Technikblog

  3. Pingback:Verlängerung eines Zertifikats im Exchange Server 2007 funktioniert nicht–Kein privater Schlüssel gefunden « Technikblog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.