Exchange 2010: Zertifikatsanfrage via GUI erstellen

Posted onAutorJens Kupke

Hallo Freunde der Sonne,

bevor wieder die Angst vor der Powershell umgeht: nein in Exchange 2010 muss man diese nicht verwenden – dafür gibts hier ein Tutorial für die GUI.

Exchange 2010: Zertifikatsanfrage via GUI erstellen

Das erstellen der Exchange-Zertifikats ist nun sehr einfach, bitte die Management-Konsole öffnen und dort den Menüpunkt „Serverkonfiguration“ wählen – siehe Abbildung 1.

Exchange 2010: Zertifikatsspeicher

Hier kann nun im Optionsmenü (rechts) der Assistent für neue Zertifikatsanforderungen gestartet werden „Neues Exchange-Zertifikat…“. Nun bitte den Anzeigenamen des Zertifikats angeben und bis zu den Funktionen weitergehen – siehe Abbildung 2.

Exchange 2010: Assistent Funktionsauswahl

Folgende Bereichsklärung – je nachdem sollte die Funktion ausgewählt werden und der entsprechende Domainname eingefügt werden:

  • CAS (Client-Access-Server) = Clientzugriffsserver = Benutzerschnittstelle – hier gibt es den organisationsinternen sowie -externen DNS-Namen des Servers
  • ActiveSync = Mobilzugriff = Schnittstelle für Handy/Smartphone – bezieht sich auf den externen DNS-Namen
  • Outlook Anywhere (Outlook-Tunnel-via-HTTPS) = Outlook Fernzugriff ohne VPN – hier wird der externe DNS-Name erwartet
  • POP/IMAP (POP/IMAP) = POP/IMAP – bezieht sich auf den POP- bzw. IMAP-Dienst, WINS-Hostname
  • Unified Messaging Server = für kleinere Umgebungen ist diese Rolle nicht erforderlich, wenn diese Funktion nicht installiert ist, kann das Zertifikat der Rolle später nicht zugewiesen werden (klingt ja irgendwie auch logisch)
  • Hub-Transport-Server (SMTP-Eingangsdienste, SMTPS) – für verschlüsselte SMTP-Kommunikation via TLS/SSL
  • Legacy-Exchange-Server (Migrationsmodus zu Exchange 2003) – wird nur zwecks Kompatibilität verwendet und sollte daher nicht aktiviert werden

Also alles entsprechend ausgefüllt und aktiviert, na dann können wir uns die vom Assistenten vorgeschlagenen DNS-Names, siehe Abbildung 3.

Exchange 2010: SAN-Alternatives

Hier bitte nur das stehen lassen, was auch wirklich verwendet werden könnte:

  • WINS-Name/Hostname (mail3, autodiscover)
  • DNS-Name (intern: Hostname.Domain.local, extern: Subdomain.Domain.tld)
  • E-Mail-Domain (optinal für SMTPS)

Um die mutiblen Namen für ein Zertifikat verwenden zu können, muss die Zertifizierungsstelle die Funktion „SAN-Alternative“ unterstützen.

Zum Schluss fragt der Assistent selbstverständlich nach  grundlegenden Daten des Unternehmens um das Zertifikat mit pausiblen Identifizkationsdaten zu markieren.

Exchange 2010: Zertifikatsdaten

 

Das wars auch schon, die Zertifikatsanforderung befindet sich im üblichen Format in der Datei „C:owa.req“.