Während der Installation von Exchange wird ein selbstsigniertes Zertifikat erstellt, welches für die einzelnen Verschlüsselungen verwendet wird. Das Problem hierbei ist, dass dieses Zertifikat von keiner vertrauenswürdigen Zertifizierungsstelle herausgegeben worden ist. Das heißt, dass kein Client der Zertifizierungsstelle vertraut, da es von keiner Zertifizierungsstelle herausgegeben worden ist und es somit auch keine Zertifizierungsstelle gibt, welcher vertraut werden könnte. Deshalb gilt es dieses Zertifikat zu ersetzen! In dieser Anleitung wird auf eine interne Zertifizierungsstelle, dessen Installationsanleitung Sie ebenfalls in meinem Blog finden, zurückgegriffen. Besitzen Sie ein Zertifikat einer externen Zertifizierungsstelle von einem Dritthersteller, müssen Sie dieses auf dem Exchange-Server installieren und aktivieren.
Um ein Exchange -Zertifikat mittels Exchange-Management-Console (EMC) zu erstellen gehen Sie wie folgt vor:
- Zunächst muss klar sein, für welchen Zweck das Zertifikat ausgestellt werden soll!
- Navigieren Sie in der EMC zu Serverkonfiguration und wählen Sie in der Aktionsliste (rechts) Neues-Exchange-Zertifikat erstellen aus
- Als erstes wählen Sie den Anzeigenamen des Exchange-Zertifikats, mit dem das Zertifikat in der EMC und im IIS angezeigt werden soll. Am Besten Sie wählen einen Namen aus, welcher das Zertifikat eindeutig kennzeichnet z.B. MSX2K10
- Auf der nächsten Seite können Sie ein Platzhalterzertifikat aktivieren, welches allerdings nur beim Einsatz von mehreren Subdomänen Sinn macht und für den Zweck von z.B. Outlook Anywhere nicht geeignet ist
- Im nächsten Schritt wählen Sie die Art der Absicherung, in den meisten Fällen werden Sie Clientzugriffsserver verwenden (OWA, Outlook Anywhere, Exchange ActiveSync, Autodiscover etc.). Navigieren Sie im Drop-Down Menü zu Clienzugriffsserver (Outlook Web App), aktivieren Sie diese Option und geben Sie dort die interne und externen Namen an, über welchen der Server aus dem Intranet und Internet erreichbar sein soll z.B. internerservername.domain.tld und externerservername.domain.tld
- Falls Sie ActiveSync einsetzen, aktivieren Sie auch diese Option
- Falls Sie Outlook Anywhere einsetzen wollen aktivieren Sie diese Option und geben Sie den externen Hostnamen an aufwelchen der Zugriff stattfinden soll z.B. mail.domain.tld
- Autodiscover sollte auf jeden Fall aktiviert werden, geben Sie hier am Besten eine Kombination aus Kurz-Url und Lange-Url an z.B. domain.tld und autodiscover.domain.tld
- Im vorletzen Schritt werden Ihnen die Zertifikatdomänen, welche Sie im davor ausgewählt hatten angezeigt. Wichtig ist hierbei, dass der fett angezeigte Name, jener Name ist, mit dem der Server vom Internet aus erreichbar ist = Allgemeiner Name! Ist dies nicht der Fall ändern Sie hier den Allgemeinen Namen ab.
- Geben Sie Informationen zu Ihrer Organisation an, sowie den Speicherort der Anforderung und Schließen Sie die Generierung ab
- Grundsätzlich gilt es zu überprüfen, dass der Name des Server, welcher vom Internet erreichbar sein soll in der Liste enthalten ist und als Allgemeiner Name fett markiert ist. Weiter sollte der FQDN der Domäne (domain.tld), sowie der interne Servernamen (server.domain.tld), als auch die Lang-Url von Autodiscover (autodiscover.domain.tld) in der Liste enthalten sein!
Haben Sie die Anforderun abgeschlossen sehen Sie die ausstehende Zertifikatsanforderung bereits in der EMC unter Exchange-Zertifikate aufgelistet. 
- Wie Sie die Zertifikatsanforderung abschließen, dem Zertifikat Dienste zuweisen und auch im IIS überprüfen, ob die Konfiguration richtig eingestellt ist, erfahren Sie im Artikel Exchange 2010: Zertifikatsanforderung abschließen und Konfiguration.
