Konfiguration Wildcard SSL-Zertifikat für Exchange 2010

Konfiguration eines Wildcard SSL-Zertifikates für Microsoft Exchange 2010

In diesem Artikel beschreiben wir die Installation eines Wildcard Zertifikates für den Microsoft Exchange 2010 Server.

Grundsätzlich werden für Exchange SAN/UCC (Multi-Domain) Zertifikate empfohlen, um unterschiedliche FQDN (z.B. die Hostnamen autodiscover.example.net / mail.example.net / remote.example.net) per SSL/TLS abzusichern. Wildcard Zertifikate werden jedoch ebenfalls unterstützt.

Das Zertifikat muss bereits installiert sein, um die folgenden Schritte ausführen zu können.

Öffnen Sie die Exchange Management Konsole, um eine Liste der verfügbaren Zertifikate anzuzeigen:

1
2
3
4
5
6
[ADMIN]> Get-ExchangeCertificate
 
Thumbprint                    Services  Subject
----------                              --------  -------
72B529A126F8F183901D762DEE7B  ...WS.    CN=*.example.com, OU=IT Dep, O=Example Inc.
A1A4F389EA1085CBD462E0115193  ....S.    CN=ExampleDC
[ADMIN]> Get-ExchangeCertificate

Thumbprint                    Services  Subject
----------                              --------  -------
72B529A126F8F183901D762DEE7B  ...WS.    CN=*.example.com, OU=IT Dep, O=Example Inc.
A1A4F389EA1085CBD462E0115193  ....S.    CN=ExampleDC

Falls Sie das Zertifikat *.example.net für POP3 aktivieren möchten, erhalten Sie diese Fehlermeldung:

1
2
3
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services POP
 
Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann für POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-POPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services POP

Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann für POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-POPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.

Der gleiche Fehler tritt bei IMAP auf:

1
2
3
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services IMAP
 
Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann für IMAP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-IMAPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services IMAP

Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann für IMAP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-IMAPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.
Um den Fehler zu beheben, muss der Fully Qualified Domain Name (FQDN) gesetzt werden.

Bitte führen Sie den Befehl Set-POPSettings aus, um den FQDN für POP zu setzen:

1
[ADMIN]> Set-POPSettings -X509CertificateName pop3.example.com
[ADMIN]> Set-POPSettings -X509CertificateName pop3.example.com

Für IMAP führen Sie bitte den Befehl Set-IMAPSettings aus:

1
[ADMIN]> Set-IMAPSettings -X509CertificateName imap.example.com
[ADMIN]> Set-IMAPSettings -X509CertificateName imap.example.com

Kontrolle der Einstellungen für POP3:

1
2
3
4
5
[ADMIN]> Get-POPSettings
 
UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::110, 0.0.0.0:110}     {:::995, 0.0.0.0:995}  SecureLogin  pop3.example.com
[ADMIN]> Get-POPSettings

UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::110, 0.0.0.0:110}     {:::995, 0.0.0.0:995}  SecureLogin  pop3.example.com

Ebenso für IMAP:

1
2
3
4
5
[ADMIN]> Get-IMAPSettings
 
UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::143, 0.0.0.0:143}     {:::993, 0.0.0.0:993}  SecureLogin  imap.example.com
[ADMIN]> Get-IMAPSettings

UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::143, 0.0.0.0:143}     {:::993, 0.0.0.0:993}  SecureLogin  imap.example.com

Falls die Einstellungen korrekt angezeigt werden, müssen die Dienste neu gestartet werden:

1
2
[ADMIN]> Restart-service MSExchangePOP3
[ADMIN]> Restart-service MSExchangeIMAP4
[ADMIN]> Restart-service MSExchangePOP3
[ADMIN]> Restart-service MSExchangeIMAP4