Konfiguration Wildcard SSL-Zertifikat f├╝r Exchange 2010

Konfiguration eines Wildcard SSL-Zertifikates f├╝r Microsoft Exchange 2010

In diesem Artikel beschreiben wir die Installation eines Wildcard Zertifikates f├╝r den Microsoft Exchange 2010 Server.

Grunds├Ątzlich werden f├╝r Exchange SAN/UCC (Multi-Domain) Zertifikate empfohlen, um unterschiedliche FQDN (z.B. die Hostnamen autodiscover.example.net / mail.example.net / remote.example.net) per SSL/TLS abzusichern. Wildcard Zertifikate werden jedoch ebenfalls unterst├╝tzt.

Das Zertifikat muss bereits installiert sein, um die folgenden Schritte ausf├╝hren zu k├Ânnen.

├ľffnen Sie die Exchange Management Konsole, um eine Liste der verf├╝gbaren Zertifikate anzuzeigen:

1
2
3
4
5
6
[ADMIN]> Get-ExchangeCertificate
 
Thumbprint                    Services  Subject
----------                              --------  -------
72B529A126F8F183901D762DEE7B  ...WS.    CN=*.example.com, OU=IT Dep, O=Example Inc.
A1A4F389EA1085CBD462E0115193  ....S.    CN=ExampleDC
[ADMIN]> Get-ExchangeCertificate

Thumbprint                    Services  Subject
----------                              --------  -------
72B529A126F8F183901D762DEE7B  ...WS.    CN=*.example.com, OU=IT Dep, O=Example Inc.
A1A4F389EA1085CBD462E0115193  ....S.    CN=ExampleDC

Falls Sie das Zertifikat *.example.net f├╝r POP3 aktivieren m├Âchten, erhalten Sie diese Fehlermeldung:

1
2
3
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services POP
 
Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann f├╝r POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Dom├Ąnenname (FQDN) ist. Verwenden Sie den Befehl 'Set-POPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services POP

Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann f├╝r POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Dom├Ąnenname (FQDN) ist. Verwenden Sie den Befehl 'Set-POPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.

Der gleiche Fehler tritt bei IMAP auf:

1
2
3
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services IMAP
 
Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann f├╝r IMAP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Dom├Ąnenname (FQDN) ist. Verwenden Sie den Befehl 'Set-IMAPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.
[ADMIN]> Enable-ExchangeCertificate -Thumbprint 72B529A126F8F183901D762DEE7B -Services IMAP

Dieses Zertifikat mit dem Fingerabdruck 72B529A126F8F183901D762DEE7B und dem Antragsteller '*.example.com' kann f├╝r IMAP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Dom├Ąnenname (FQDN) ist. Verwenden Sie den Befehl 'Set-IMAPSettings', um X509CertificateName auf den FQDN des Diensts festzulegen.
Um den Fehler zu beheben, muss der Fully Qualified Domain Name (FQDN) gesetzt werden.

Bitte f├╝hren Sie den Befehl Set-POPSettings aus, um den FQDN f├╝r POP zu setzen:

1
[ADMIN]> Set-POPSettings -X509CertificateName pop3.example.com
[ADMIN]> Set-POPSettings -X509CertificateName pop3.example.com

F├╝r IMAP f├╝hren Sie bitte den Befehl Set-IMAPSettings aus:

1
[ADMIN]> Set-IMAPSettings -X509CertificateName imap.example.com
[ADMIN]> Set-IMAPSettings -X509CertificateName imap.example.com

Kontrolle der Einstellungen f├╝r POP3:

1
2
3
4
5
[ADMIN]> Get-POPSettings
 
UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::110, 0.0.0.0:110}     {:::995, 0.0.0.0:995}  SecureLogin  pop3.example.com
[ADMIN]> Get-POPSettings

UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::110, 0.0.0.0:110}     {:::995, 0.0.0.0:995}  SecureLogin  pop3.example.com

Ebenso f├╝r IMAP:

1
2
3
4
5
[ADMIN]> Get-IMAPSettings
 
UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::143, 0.0.0.0:143}     {:::993, 0.0.0.0:993}  SecureLogin  imap.example.com
[ADMIN]> Get-IMAPSettings

UnencryptedOrTLSBindings  SSLBindings            LoginType    X509CertificateName
------------------------  -----------            ---------    -------------------
{:::143, 0.0.0.0:143}     {:::993, 0.0.0.0:993}  SecureLogin  imap.example.com

Falls die Einstellungen korrekt angezeigt werden, m├╝ssen die Dienste neu gestartet werden:

1
2
[ADMIN]> Restart-service MSExchangePOP3
[ADMIN]> Restart-service MSExchangeIMAP4
[ADMIN]> Restart-service MSExchangePOP3
[ADMIN]> Restart-service MSExchangeIMAP4