Wer Wildcard Zertifikate in Exchange 2013 oder 2016 einsetzen will, muss ein paar Dinge beachten. Microsoft macht es mal wieder etwas komplizierter als nötig.
Zertifikat importieren
Ein Zertifikat immer über die Exchange Management Console importieren! Die Intermediates dann über dann MMC Snapin Zertifikate.
Import-ExchangeCertificate -FileName "\\netshare\folder\\PFX.pfx" -Password (ConvertTo-SecureString -String 'password' -AsPlainText -Force) -FriendlyName "My Certificate Name"
Man Kann ein Wildcard Zertifikat an die Dienste SMTP und IIS binden. Für die Dienste IMAP und POP3 geht das aber nicht so einfach. Man erhält man folgende Fehlermeldung:
„Dieses Zertifikat mit dem Fingerabdruck … und dem Antragsteller ‚*.domäne.de‘ kann für POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter Domänenname (FQDN) ist. Verwenden Sie den Befehl ‚Set-POPSettings‘, um X509CertificateName auf den FQDN des Diensts festzulegen.“
1. Thumbprint auslesen
Entweder man kopiert den Thumbprint aus der Meldung oder lässt sich die Zertifikate über die Powershell anzeigen, mit
Get-ExchangeCertificate
Thumbprint des Wildcard Zertifikats notieren.
2. X509CertificateName vergeben
Für die Dienste POP3 und IMAP muss ein X509CertificateName vergeben werden. Hier wird der Domänenname eingetragen über den der Exchange angesprochen wird.
Set-POPSettings -X509CertificateName mail.domain.de Set-IMAPSettings -X509CertificateName mail.domain.de
4. Konfiguration überprüfen
Der X509CertificateName sollte nun bei der Ausgabe der folgenden Befehle angezeigt werden. Achtung: die Schritte 3 und 4 müssen auf allen Exchange Servern im Verbund durchgeführt werden.
Get-POPSettings Get-IMAPSettings
3. Dienste neu starten
Restart-service MSExchangeIMAP4 Restart-service MSExchangePOP3
Achtung: Auch nachdem diese Konfiguration vorgenommen wurde, können die Dienste dem Zertifikat trotzdem nicht über die Webconsole zugewiesen werden. Es erscheint weiterhin dieselbe Fehlermeldung. Die Dienste nutzen das Zertifikat aber trotzdem und sollten anhand dieser Konfiguration wieder funktionieren.
4. Altes Zertifikat entfernen
Dem alten Zertifikat, dass vor dem Wildcardzertifikat eingesetzt wurde, sind weiterhin die POP3 und IMAP Dienste zugewiesen. Wie oben erwähnt kann man die Dienste nicht an das neue Wildcardzertifikat binden. Daher kann das alte Zertifikat nicht über die Webconsole entfernt werden. Das muss also auch über die Powershell erledigt werden.
Exchange Zertifikate auflisten und den Thumbprint des alten Zertifikats notieren:
Get-ExchangeCertificate | select Thumbprint, Services, NotAfter, Subject, CertificateDomains | fl
Nun werden alle Dienst-Bindungen von diesem Zertifikat gelöst:
Enable-ExchangeCertificate -Services None -Thumbprint ...
Dann das Zertifikat löschen:
Remove-ExchangeCertificate -Thumbprint ...
Funktioniert das nicht, muss zuerst ein neues Zertifikat erstellt werden und diesem mit folgendem Befehl zuerst die Dienste zugewiesen werden. Dann kann das alte Zertifikat gelöscht werden.
Enable-ExchangeCertificate -Thumbprint ... -Services "smtp,imap,pop"
Das neue Zertifikat kann man mit folgendem Befehl erstellen (ungetestet) oder über die Webconsule. Ein selbstsigniertes Zertifikat reicht erstmal aus.
New-ExchangeCertificate -IncludeServerFQDN -IncludeServerNetBIOSName