Auf den ersten Geburtstag des Exchange-Servers macht Sie dieser vehement mit etlichen Fehlermeldungen aufmerksam. Sie finden im Exchange Logfile zB diese Meldung:

Protokollname:     Application
Quelle:            MSExchangeTransport
Datum:             10.03.2014 13:23:38
Ereignis-ID:       12018
Aufgabenkategorie: TransportService
Ebene:             Fehler
Schlüsselwörter:   Klassisch
Benutzer:          Nicht zutreffend
Computer:          EXC.DOMAIN.local
Beschreibung:
Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: mail.domain.de, Fingerabdruck: 3AA13AE50E62EF9B345F60FF06D7D31235872853,
verbleibende Stunden: 239. Führen Sie das Cmdlet 'New-ExchangeCertificate' aus, um ein neues Zertifikat zu erstellen.

Mit dem Powershell Cmdlet »Get-ExchangeCertificate« können Sie sich die installierten Zertifikate anzeigen und damit das ablaufende Zertifikat identifizieren:

[PS] C:\Windows\system32>Get-ExchangeCertificate| fl Name, Thum*, Services, Status, Not*


Thumbprint : 7588292EB5EFA3A5595384CB58B4C6EFB8B6610E
Services   : None
Status     : Valid
NotAfter   : 19.03.2023 15:39:41
NotBefore  : 21.03.2013 15:39:41

Thumbprint : 3AA13AE50E62EF9B345F60FF06D7D31235872853
Services   : IIS, SMTP
Status     : Valid
NotAfter   : 20.03.2014 11:24:57
NotBefore  : 20.03.2013 11:14:57

Thumbprint : 68A72AB383573117589036CBCA606DD2ABE973A9
Services   : None
Status     : Valid
NotAfter   : 20.03.2018 00:59:59
NotBefore  : 20.03.2013 01:00:00

Thumbprint : E2E4060619F072704AFA4FC7DD145CD6EDEE499CE
Services   : IMAP, POP, SMTP
Status     : Valid
NotAfter   : 19.03.2018 11:37:51
NotBefore  : 19.03.2013 11:37:51

Die Basis eines jeden Zertifikats stellt die Zertifikatsanforderung und eines dazugehörigen Schlüsselpaares dar. Die codierte Zertifikatsanforderung enthält diesen Schlüssel bereits und wird zB auf einem Exchange Server 2010 in der Powershell mit folgenden Kommando erstellt und in die flüchtige Variable »$CSR« geschrieben. Das folgende Kommando erstellt ein Zertifikat für die FQDNs: outlook.domain.de, autodiscover.domain.de, autodiscover.domain.local, werden keine alternativen Namen benötigt, lässt man den Schalter »-DomainName« mit seinen Werten einfach weg:

[PS] C:\Windows\system32>$CSR = New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, O=MyCompany AG, CN=outlook.domain.de, OU=EDV, S=BY" -DomainName outlook.domain.de, autodiscover.domain.de, autodiscover.domain.local -PrivateKeyExportable $true

Im zweiten Schritt wird der Inhalt der Variable »$CSR« in die Textdatei »C:\orgfiles\certrequest_20150312.txt« geschrieben:

[PS] C:\Windows\system32>Set-Content -Path "C:\orgfiles\certrequest_20150312.txt" -Value $CSR

Diesen Request reichen Sie in Ihrer Zertifizierungsstelle ein und laden das ausgestellte Zertifikat herunter…

Sie haben nun das fertig ausgestellte und von der Zertifikatsstelle signierte Zertifikat erhalten und auf Ihrem Exchange Server 2010 abgespeichert. Installieren Sie das Zertifikat mit folgenden Powershell-Kommando in den lokalen Zertifikatsspeicher des Exchangeservers:

[PS] C:\Windows\system32>Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\orgfiles\Cert_2015\outlook.kastner.de_2015.cer -Encoding byte -ReadCount 0))

Thumbprint                                Services   Subject
----------                                --------   -------
54703CA96E63686C4612342A893C8441234B7AD4  ......     CN=outlook.domain.de, OU=EDV, O=MyCompany AG, S=BY, C=DE

Mit dem Vorgang des Imports befindet sich das Zertifikat bislang erst im lokalem Zertifikatsspeicher des Exchangeservers, Sie können das mit folgenden Powershellkommando überprüfen:

[PS] C:\Windows\system32>Get-ExchangeCertificate| fl Name, Thum*, Services, Status, Not*


Thumbprint : 54703CA96E63686C4612342A893C8441234B7AD4
Services   : None
Status     : Valid
NotAfter   : 12.03.2018 11:01:31
NotBefore  : 12.03.2015 10:51:31

Thumbprint : 538EB8D67AFFA413E7BD414C65EFB3D7FBB766FC
Services   : SMTP
Status     : Valid
NotAfter   : 19.08.2019 01:59:59
NotBefore  : 19.08.2014 02:00:00

Thumbprint : F42B9E80A7870F8E99601016FEEF5746A2E49DF9
Services   : IIS, SMTP
Status     : Valid
NotAfter   : 17.03.2015 16:25:39
NotBefore  : 17.03.2014 16:15:39

Thumbprint : 7588292EB40A48B4C6EFB8B6610E5EFA35119538
Services   : None
Status     : Valid
NotAfter   : 19.03.2023 15:39:41
NotBefore  : 21.03.2013 15:39:41

Thumbprint : 68A72A58903439CA606DD2ABE973A9B38D1B3117
Services   : SMTP
Status     : Valid
NotAfter   : 20.03.2018 00:59:59
NotBefore  : 20.03.2013 01:00:00

Thumbprint : E2E4064A44FC7DD145BC8EDEE499CE0619F07270
Services   : IMAP, POP, SMTP
Status     : Valid
NotAfter   : 19.03.2018 11:37:51
NotBefore  : 19.03.2013 11:37:51

Um dieses Zertifikat nun zu aktivieren, weisen Sie es einem Dienst zu:

[PS] C:\Windows\system32>Enable-ExchangeCertificate -Server MTA-2 -Service "IIS" -Thumbprint 54703CA96E63686C4612342A893C8441234B7AD4

That's the way it works - it's all done
prontosystems.org - we are connecting more than computers

— pronto 2015/03/12 14:33