SSL Zertifikate haben eine begrenzte Laufzeit, beim Ablauf eines Zertifikats funktionieren die daran gebundenen Dienste nicht mehr oder nur eingeschränkt. Exchange Server teilt Ihnen in Bälde ablaufende Zertifikate in der Ereignisanzeige bereits einige Wochen zuvor eindringlich mit.
Sie können Zertifikate bereits einige Wochen vor Ablauf des aktuellen Ablaufdatum verlängern. Diese Zertifikate sind dann idR auch ab sofort gültig. Somit haben Sie für eine Übergangszeit zwei gültige Zertifikate.
Zertifikate abrufen → Get-ExchangeCertificate
In der Powershell können Sie sich alle installierten Zertifikate mit dem Cmdlet Get-ExchangeCertificate anzeigen lassen und ermitteln, welches Zertifikat gemeint ist:
[PS] C:\Windows\system32>Get-ExchangeCertificate -Server MTA-2 | Format-List Thumbprint, Services, Subject, FriendlyName, NotBefore, NotAfter
Thumbprint : 189DD3200A3E93D8CB8E73B10D8D37C1A9937211
Services : IIS, SMTP
Subject : CN=*.domain.de
FriendlyName : *.domain.de.2023
NotBefore : 16.02.2022 01:00:00
NotAfter : 20.03.2023 00:59:59
Thumbprint : 1C83D5C4C95A6C335CA3EA58BF45027BBF9D0F38
Services : IMAP, POP, IIS
Subject : CN=MTA-2
FriendlyName : Microsoft Exchange
NotBefore : 26.03.2021 13:59:11
NotAfter : 26.03.2026 13:59:11
Thumbprint : 6D2ECBD73562697E6AD37E67BE5842279F168B70
Services : None
Subject : CN=WMSvc-SHA2-MTA-2
FriendlyName : WMSVC-SHA2
NotBefore : 26.03.2021 13:30:12
NotAfter : 24.03.2031 13:30:12
Thumbprint : 45923D9ECE334638772F1D64F674E9958C760E33
Services : SMTP
Subject : CN=Microsoft Exchange Server Auth Certificate
FriendlyName : Microsoft Exchange Server Auth Certificate
NotBefore : 17.12.2019 10:43:52
NotAfter : 20.11.2024 10:43:52Anhand des Fingerprints (Thumbprint) können wir feststellen, dass es sich dabei um das Wildcard Zertifikat handelt, welches an die Dienste IIS und SMTP gebunden ist.
Zertifikat importieren → Import-ExchangeCertificate
Die folgende Prozedur setzt ein bereits vorhandenes, neues Zertifikat mit folgenden Eigenschaften voraus:
- Das Zertifikat muss den privaten Schlüssel enthalten.
- Die Zertifikatskette muss vollständig sein.
- Wenn Sie das Zertifikat zu einem späteren Zeitpunkt exportieren wollen, muss der private Schlüssel exportierbar sein.
Die Möglichkeit Exchange Zertifikate im Exchange Admin Center (ECP) hinzuzufügen, ist seit einiger Zeit nicht mehr möglich. Stattdessen können Sie Zertifikate entweder über die MMC (Rechtsklick auf die Zertifikatsdatei → Zertifikat installieren) oder in der Powershell mit dem Cmdlet Import-ExchangeCertificate hinzufügen:
[PS] C:\Windows\system32>Import-ExchangeCertificate -Server MTA-2 -FileData ([System.IO.File]::ReadAllBytes('C:\orgfiles\Cert\wildcard.domain.de\certificate.pfx'))
Thumbprint Services Subject
---------- -------- -------
C250F810E6E0EFAE5450E55E1D1B489732FDD7AA ....... CN=*.domain.deDas Zertifikat wurde damit dem lokalen Zertifikatsspeicher des angegebenen Servers hinzugefügt.
Zertifikat aktivieren → Enable-ExchangeCertificate
Wie in der Ausgabe des Import-ExchangeCertificate Kommandos unter Services zu sehen, ist das Zertifikat noch keinem Dienst zugewiesen. Mit dem Cmdlet Enable-ExchangeCertificate können Zertifikate für bestimmte Dienste aktiviert werden. Hier im Beispiel wird das Zertifikat für die Dienste IIS und SMTP erneuert, diese Dienste werden mit folgenden Kommando dem angegebenen Zertifikat zugewiesen:
[PS] C:\Windows\system32>Enable-ExchangeCertificate -Thumbprint C250F810E6E0EFAE5450E55E1D1B489732FDD7AA -Services SMTP,IISSie können Dienste auch im Exchange Admin Center (ECP) einem Zertifikat hinzufügen. Editieren Sie dazu im ECP in Server → Zertifikate das Zertifikat welchem Sie Dienste zuweisen möchten:
Reverse Proxy Setup
Wenn Sie vor den Exchange Servern einen Reverse Proxy betreiben, müssen Sie auch auf diesem die Zertifikate aktuell und gültig halten. Den Pfad, in dem die Zertifikate gespeichert sind, finden Sie auf einem Apache Web Proxy in der Virtual Host Policy. Folgende Zertifikate und Schlüsseldateien werden benötigt:
- SSLCertificateFile
- SSLCertificateKeyFile
- SSLCertificateChainFile
