Digitale Zertifikate und Verschlüsselung in Exchange 2016Digital certificates and encryption in Exchange 2016

Zusammenfassung: erfahren Sie mehr über SSL, TLS, Verschlüsselung und digitalen Zertifikate in Exchange 2016.Summary: Learn about SSL, TLS, encryption, and digital certificates in Exchange 2016.

Verschlüsselung und digitale Zertifikate sind wichtige Faktoren in jeder Organisation. Standardmäßig ist Exchange Server 2016 für die Verwendung von TLS (Transport Layer Security) zum Verschlüsseln der Kommunikation zwischen internen Exchange-Servern sowie zwischen Exchange-Diensten auf dem lokalen Server konfiguriert. Exchange-Administratoren müssen jedoch ihre Verschlüsselungsanforderungen für die Kommunikation mit internen und externen Clients (Computern und mobilen Geräten) sowie mit externen Messagingservern berücksichtigen.Encryption and digital certificates are important considerations in any organization. By default, Exchange Server 2016 is configured to use Transport Layer Security (TLS) to encrypt communication between internal Exchange servers, and between Exchange services on the local server. But, Exchange administrators need to consider their encryption requirements for communication with internal and external clients (computers and mobile devices), and external messaging servers.

Hinweis

Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Da die Begriffe „SSL" und „TLS" (ohne Versionen) so eng im Zusammenhang stehen, werden sie häufig synonym verwendet. Aufgrund dieser Ähnlichkeit wurden Verweise auf „SSL" in Exchange-Themen, Exchange-Verwaltungskonsole und Exchange-Verwaltungsshell häufig so verwendet, dass sowohl die SSL- als auch die TLS-Protokolle enthalten sind. „SSL" bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Um zu erfahren, warum Sie das SSL-Protokoll deaktivieren und auf TLS umsteigen sollten, lesen Sie Schutz vor der Sicherheitsanfälligkeit von SSL 3.0.Secure Sockets Layer (SSL) is being replaced by Transport Layer Security (TLS) as the protocol that's used to encrypt data sent between computer systems. They're so closely related that the terms "SSL" and "TLS" (without versions) are often used interchangeably. Because of this similarity, references to "SSL" in Exchange topics, the Exchange admin center, and the Exchange Management Shell have often been used to encompass both the SSL and TLS protocols. Typically, "SSL" refers to the actual SSL protocol only when a version is also provided (for example, SSL 3.0). To find out why you should disable the SSL protocol and switch to TLS, check out Protecting you against the SSL 3.0 vulnerability.

In diesem Thema werden die verfügbaren Arten von Zertifikaten und die Standardkonfiguration für Zertifikate in Exchange beschrieben. Außerdem enthält es Vorschläge für zusätzliche Zertifikate, die Sie mit Exchange verwenden müssen.This topic describes the different types of certificates that are available, the default configuration for certificates in Exchange, and recommendations for additional certificates that you'll need to use with Exchange.

Die Verfahren, die für Zertifikate in Exchange 2016 erforderlich sind, finden Sie unter Certificate Verfahren im Exchange 2016.For the procedures that are required for certificates in Exchange 2016, see Certificate procedures in Exchange 2016.

Übersicht über digitale ZertifikateDigital certificates overview

Digitale Zertifikate sind elektronische Dateien, die wie Onlinekennwörter funktionieren, um die Identität eines Benutzers oder eines Computers zu überprüfen. Sie werden verwendet, um den verschlüsselten Kanal zu erstellen, der für die Clientkommunikation verwendet wird. Ein Zertifikat ist eine digitale Bescheinigung von einer Zertifizierungsstelle (Certification Authority, CA), die die Identität des Zertifikatinhabers bestätigt und den Parteien eine sichere Kommunikation durch die Verschlüsselung von Daten ermöglicht.Digital certificates are electronic files that work like an online password to verify the identity of a user or a computer. They're used to create the encrypted channel that's used for client communications. A certificate is a digital statement that's issued by a certification authority (CA) that vouches for the identity of the certificate holder and enables the parties to communicate in a secure manner by using encryption.

Digitale Zertifikate bieten die folgenden Dienste:Digital certificates provide the following services:

  • Verschlüsselung: sie schützen die Daten, die ausgetauscht werden vor Diebstahl und Manipulation.Encryption: They help protect the data that's exchanged from theft or tampering.

  • Authentifizierung: Überprüfen sie ihre Inhaber – Personen, Websites und sogar Netzwerkgeräte wie Router – sind wirklich, oder er vorgibt zu sein. In der Regel ist die Authentifizierung unidirektionale, wobei die Quelle die Identität des Ziels überprüft, aber mutual TLS-Authentifizierung auch möglich ist.Authentication: They verify that their holders—people, web sites, and even network devices such as routers—are truly who or what they claim to be. Typically, the authentication is one-way, where the source verifies the identity of the target, but mutual TLS authentication is also possible.

Zertifikate können für verschiedene Zwecke ausgestellt werden. Beispiel: zur Webbenutzerauthentifizierung, zur Webserverauthentifizierung, für S/MIME (Secure/Multipurpose Internet Mail Extensions), IPsec (Internet Protocol Security) und zur Codesignierung.Certificates can be issued for several uses. For example: web user authentication, web server authentication, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), and code signing.

Ein Zertifikat enthält einen öffentlichen Schlüssel und bindet diesen an die Identität einer Person, eines Computers oder eines Diensts mit dem entsprechenden privaten Schlüssel. Öffentliche und private Schlüssel werden vom Client und vom Server zum Verschlüsseln von Daten vor deren Übertragung verwendet. Für Windows-Benutzer, -Computer und -Dienste wird eine Vertrauensstellung mit der Zertifizierungsstelle eingerichtet, wenn das Stammzertifikat im Speicher für vertrauenswürdige Stammzertifikate definiert ist und das Zertifikat einen gültigen Zertifizierungspfad enthält. Ein Zertifikat gilt als gültig, wenn es nicht gesperrt wurde (es ist nicht in der Zertifikatsperrliste (Certificate Revocation List, CRL) der Zertifizierungsstelle aufgeführt) und der Gültigkeitszeitraum nicht abgelaufen ist.A certificate contains a public key and attaches that public key to the identity of a person, computer, or service that holds the corresponding private key. The public and private keys are used by the client and the server to encrypt data before it's transmitted. For Windows users, computers, and services, trust in the CA is established when the root certificate is defined in the trusted root certificate store, and the certificate contains a valid certification path. A certificate is considered valid if it hasn't been revoked (it isn't in the CA's certificate revocation list or CRL), or hasn't expired.

Die drei Haupttypen von digitalen Zertifikaten werden in der folgenden Tabelle beschrieben.The three primary types of digital certificates are described in the following table.

TypType BeschreibungDescription VorteileAdvantages NachteileDisadvantages
Selbstsigniertes ZertifikatSelf-signed certificate
Das Zertifikat wird von der Anwendung signiert, die es erstellt hat.The certificate is signed by the application that created it.
Kosten (kostenlos).Cost (free).
Dem Zertifikat wird nicht automatisch von Clientcomputern und mobilen Geräten vertraut. Das Zertifikat muss dem Speicher für vertrauenswürdige Stammzertifikate auf allen Clientcomputern und Geräten manuell hinzugefügt werden, aber nicht alle mobilen Geräte lassen Änderungen am Speicher für vertrauenswürdige Stammzertifikate zu.The certificate isn't automatically trusted by client computers and mobile devices. The certificate needs to be manually added to the trusted root certificate store on all client computers and devices, but not all mobile devices allow changes to the trusted root certificate store.
Nicht alle Dienste funktionieren mit selbstsignierten Zertifikaten.Not all services work with self-signed certificates.
Das Herstellen einer Infrastruktur für die Lebenszyklusverwaltung von Zertifikaten ist schwierig. Selbstsignierte Zertifikaten können z. B. nicht gesperrt werden.Difficult to establish an infrastructure for certificate lifecycle management. For example, self-signed certificates can't be revoked.
Von einer internen Zertifizierungsstelle ausgestelltes ZertifikatCertificate issued by an internal CA
Das Zertifikat wird von einer Public Key-Infrastruktur (PKI) in Ihrer Organisation ausgestellt. Beispiel: Active Directory-Zertifikatdienste (AD CS). Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste: Übersicht. The certificate is issued by a public key infrastructure (PKI) in your organization. An example is Active Directory Certificate Services (AD CS). For more information, see Active Directory Certificate Services Overview.
Ermöglicht Organisationen, eigene Zertifikate auszustellen.Allows organizations to issue their own certificates.
Preisgünstiger als Zertifikate von einer kommerziellen Zertifizierungsstelle.Less expensive than certificates from a commercial CA.
Höhere Komplexität beim Bereitstellen und Verwalten der PKI.Increased complexity to deploy and maintain the PKI.
Dem Zertifikat wird nicht automatisch von Clientcomputern und mobilen Geräten vertraut. Das Zertifikat muss dem Speicher für vertrauenswürdige Stammzertifikate auf allen Clientcomputern und Geräten manuell hinzugefügt werden, aber nicht alle mobilen Geräte lassen Änderungen am Speicher für vertrauenswürdige Stammzertifikate zu.The certificate isn't automatically trusted by client computers and mobile devices. The certificate needs to be manually added to the trusted root certificate store on all client computers and devices, but not all mobile devices allow changes to the trusted root certificate store.
Von einer kommerziellen Zertifizierungsstelle ausgestelltes ZertifikatCertificate issued by a commercial CA
Das Zertifikat wird von einer vertrauenswürdigen gewerblichen Zertifizierungsstelle erworben.The certificate is purchased from a trusted commercial CA.
Vereinfachte Zertifikatbereitstellung, da alle Clients, Geräte und Server automatisch den Zertifikaten vertrauen.Simplified certificate deployment, because all clients, devices, and servers automatically trust the certificates.
Kosten Sie müssen im Voraus planen, um die Anzahl der erforderlichen Zertifikate zu minimieren.Cost. You need to plan ahead to minimize the number of certificates that are required.

Um nachzuweisen, dass ein Zertifikatinhaber ist, wer er vorgibt zu sein, muss das Zertifikat den Zertifikatinhaber anderen Clients, Geräten oder Servern gegenüber genau identifizieren. Die drei grundlegenden Methoden dazu sind in der folgenden Tabelle beschrieben.To prove that a certificate holder is who they claim to be, the certificate must accurately identify the certificate holder to other clients, devices, or servers. The three basic methods to do this are described in the following table.

MethodeMethod BeschreibungDescription VorteileAdvantages NachteileDisadvantages
Abgleich mit dem ZertifikatantragstellerCertificate subject match
Das Subject -Feld des Zertifikats enthält den allgemeinen Namen (Common Name, CN) des Hosts. Beispielsweise kann das Zertifikat, das für www.contoso.com ausgestellt wurde, für die Website https://www.contoso.com verwendet werden. The certificate's Subject field contains the common name (CN) of the host. For example, the certificate that's issued to www.contoso.com can be used for the web site https://www.contoso.com.
Kompatibel mit allen Clients, Geräten und Diensten.Compatible with all clients, devices, and services.
Abschottung. Sperren des Zertifikats für einen Host wirkt sich nicht auf andere Hosts aus.Compartmentalization. Revoking the certificate for a host doesn't affect other hosts.
Anzahl erforderlicher Zertifikate. Sie können das Zertifikat nur für den angegebenen Host verwenden. Beispielsweise können Sie das Zertifikat www.contoso.com nicht für ftp.contoso.com verwenden, selbst wenn die Dienste auf demselben Server installiert sind.Number of certificates required. You can only use the certificate for the specified host. For example, you can't use the www.contoso.com certificate for ftp.contoso.com, even when the services are installed on the same server.
Komplexität. Auf einem Webserver ist für jedes Zertifikat eine eigene IP-Adressbindung erforderlich.Complexity. On a web server, each certificate requires its own IP address binding.
Abgleich mit dem alternativen Zertifikatantragstellernamen (Subject Alternative Name, SAN)Certificate subject alternative name (SAN) match
Zusätzlich zum Subject -Feld enthält das Subject Alternative Name -Feld des Zertifikats eine Liste mit mehreren Hostnamen. Beispiel: In addition to the Subject field, the certificate's Subject Alternative Name field contains a list of multiple host names. For example:
• www.contoso.com• www.contoso.com
• ftp.contoso.com• ftp.contoso.com
• ftp.eu.fabirkam.net• ftp.eu.fabirkam.net
Bequemlichkeit. Sie können das gleiche Zertifikat für mehrere Hosts in mehreren separaten Domänen verwenden.Convenience. You can use the same certificate for multiple hosts in multiple, separate domains.
Die meisten Clients, Geräte und Dienste unterstützen SAN-Zertifikate.Most clients, devices, and services support SAN certificates.
Überwachung und Sicherheit. Sie wissen genau, welche Hosts das SAN-Zertifikat verwenden können.Auditing and security. You know exactly which hosts are capable of using the SAN certificate.
Mehr Planung erforderlich. Sie müssen die Liste der Hosts angeben, wenn Sie das Zertifikat erstellen.More planning required. You need to provide the list of hosts when you create the certificate.
Mangelnde Abschottung. Sie können Zertifikate nicht selektiv für einige der angegebenen Hosts widerrufen, ohne alle Hosts im Zertifikat zu beeinflussen.Lack of compartmentalization. You can't selectively revoke certificates for some of the specified hosts without affecting all of the hosts in the certificate.
Abgleich mit PlatzhalterzertifikatWildcard certificate match
Das Subject -Feld des Zertifikats enthält den allgemeinen Namen als Platzhalterzeichen (*) plus eine einzelne Domäne oder Unterdomäne. Beispiel: *.contoso.com oder *.eu.contoso.com. Das Platzhalterzertifikat *.contoso.com kann verwendet werden für: The certificate's Subject field contains the common name as the wildcard character (*) plus a single domain or subdomain. For example, *.contoso.com or *.eu.contoso.com. The *.contoso.com wildcard certificate can be used for:
• www.contoso.com• www.contoso.com
• ftp.contoso.com• ftp.contoso.com
• mail.contoso.com• mail.contoso.com
Flexibilität. Sie müssen sich nicht um eine Liste der Hosts bereitzustellen, wenn Sie das Zertifikat anfordern, und verwenden Sie das Zertifikat auf eine beliebige Anzahl von Hosts, die Sie in der Zukunft.Flexibility. You don't need to provide a list of hosts when you request the certificate, and you can use the certificate on any number of hosts that you may need in the future.
Sie können Platzhalterzertifikate nicht mit anderen Domänen der obersten Ebene (Top-Level-Domains, TLDs) verwenden. Beispielsweise können Sie das Platzhalterzertifikat *.contoso.com nicht für Hosts auf *.contoso.net verwenden.You can't use wildcard certificates with other top-level domains (TLDs). For example, you can't use the *.contoso.com wildcard certificate for *.contoso.net hosts.
Sie können Platzhalterzertifikate nur für Hostnamen auf der Ebene des Platzhalters verwenden. Beispielsweise können Sie das Zertifikat *.contoso.com nicht für www.eu.contoso.com verwenden. Ebenso können Sie das Zertifikat *.eu.contoso.com nicht für www.uk.eu.contoso.com verwenden.You can only use wildcard certificates for host names at the level of the wildcard. For example, you can't use the *.contoso.com certificate for www.eu.contoso.com. Or, you can't use the *.eu.contoso.com certificate for www.uk.eu.contoso.com.
Ältere Clients, Geräte, Anwendungen oder Dienste unterstützen möglicherweise keine Platzhalterzertifikate.Older clients, devices, applications, or services might not support wildcard certificates.
Bei Zertifikaten für die erweiterte Überprüfung (Extended Validation, EV) können Platzhalter nicht verwendet werden.Wildcards aren't available with Extended Validation (EV) certificates.
Sorgfältige Überwachung und Kontrolle erforderlich. Wenn das Platzhalterzertifikat beschädigt wird, wirkt sich dies auf jeden Host in der angegebenen Domäne aus.Careful auditing and control is required. If the wildcard certificate is compromised, it affects every host in the specified domain.

Zertifikate in ExchangeCertificates in Exchange

Wenn Sie Exchange 2016 auf einem Server installieren, werden zwei selbstsignierte Zertifikate erstellt und von Exchange installiert. Ein drittes selbstsigniertes Zertifikat erstellt und von Microsoft Windows für den Webverwaltungsdienst in Internetinformationsdienste (Internet Information Services, IIS) installiert. Diese drei Zertifikate werden in der Exchange-Verwaltungskonsole (EAC) und der Exchange-Verwaltungsshell angezeigt und werden in der folgenden Tabelle beschrieben:When you install Exchange 2016 on a server, two self-signed certificates are created and installed by Exchange. A third self-signed certificate is created and installed by Microsoft Windows for the Web Management service in Internet Information Services (IIS). These three certificates are visible in the Exchange admin center (EAC) and the Exchange Management Shell, and are described in the following table:


NameName KommentareComments
Microsoft ExchangeMicrosoft Exchange
Dieses selbstsignierte Zertifikat von Exchange weist die folgenden Merkmale auf:This Exchange self-signed certificate has the following capabilities:
• Das Zertifikat wird automatisch von allen anderen Exchange-Servern in der Organisation vertraut. Dazu gehören alle Edge-Transport-Server zur Exchange-Organisation abonniert.• The certificate is automatically trusted by all other Exchange servers in the organization. This includes any Edge Transport server subscribed to the Exchange organization.
• Das Zertifikat automatisch für alle Exchange-Dienste mit Ausnahme von Unified Messaging aktiviert ist, und wird verwendet, um die interne Kommunikation zwischen Exchange-Servern, die Exchange-Webdienste auf dem gleichen Computer und Clientverbindungen, die vom Client Proxy sind verschlüsseln Access-Dienste, um die Back-End-Dienste auf dem Postfachserver.• The certificate is automatically enabled for all Exchange services except Unified Messaging, and is used to encrypt internal communication between Exchange servers, Exchange services on the same computer, and client connections that are proxied from the Client Access services to the backend services on Mailbox servers.
• Das Zertifikat wird für eingehende Verbindungen von externen SMTP-messaging-Servern und ausgehende Verbindungen mit externen SMTP-messaging-Servern automatisch aktiviert. Diese Standardkonfiguration ermöglicht Exchange Opportunistische TLS auf alle eingehenden und ausgehenden SMTP-Verbindungen angeben. Exchange versucht, die SMTP-Sitzung mit einem externen messaging-Server zu verschlüsseln, aber der externe Server TLS-Verschlüsselung nicht unterstützen, die Sitzung unverschlüsselte ist.• The certificate is automatically enabled for inbound connections from external SMTP messaging servers, and outbound connections to external SMTP messaging servers. This default configuration allows Exchange to provide opportunistic TLS on all inbound and outbound SMTP connections. Exchange attempts to encrypt the SMTP session with an external messaging server, but if the external server doesn't support TLS encryption, the session is unencrypted.
• Das Zertifikat nicht verschlüsselten Kommunikation mit internen oder externen Clients zur Verfügung. Clients und Servern vertrauen nicht das selbstsignierte Zertifikat von Exchange, da das Zertifikat in ihre vertrauenswürdigen Stammzertifizierungsstellen Zertifizierung Speicher definiert ist nicht.• The certificate doesn't provide encrypted communication with internal or external clients. Clients and servers don't trust the Exchange self-signed certificate, because the certificate isn't defined in their trusted root certification stores.
Microsoft Exchange-Zertifikat für die ServerauthentifizierungMicrosoft Exchange Server Auth Certificate
Diese Exchange selbstsignierte Zertifikat wird für Server-zu-Server-Authentifizierung und Integration mit OAuth verwendet. Weitere Informationen finden Sie unter Exchange 2016 Planen der Integration mit SharePoint und Skype für Unternehmen.This Exchange self-signed certificate is used for server-to-server authentication and integration by using OAuth. For more information, see Plan Exchange 2016 integration with SharePoint and Skype for Business.
WMSVCWMSVC
Dieses selbstsignierte Windows-Zertifikat wird vom Webverwaltungsdienst in IIS zum Aktivieren der Remoteverwaltung des Webservers und der ihm zugeordneten Websites und Anwendungen verwendet.This Windows self-signed certificate is used by the Web Management service in IIS to enable remote management of the web server and its associated web sites and applications.
Wenn Sie dieses Zertifikat entfernen, kann der Webverwaltungsdienst nicht gestartet werden, falls kein gültiges Zertifikat ausgewählt ist. Wenn sich der Dienst in diesem Zustand befindet, können Sie möglicherweise keine Updates für Exchange installieren oder Exchange nicht vom Server deinstallieren. Weitere Informationen zum Beheben dieses Problems finden Sie unter Ereignis-ID 1007 - Authentifizierung des IIS-Webverwaltungsdiensts. If you remove this certificate, the Web Management service will fail to start if no valid certificate is selected. Having the service in this state can prevent you from installing Exchange updates, or uninstalling Exchange from the server. For instructions on how to correct this issue, see Event ID 1007 — IIS Web Management Service Authentication

Die Eigenschaften dieser selbstsignierten Zertifikate sind im Abschnitt Eigenschaften der standardmäßigen selbstsignierten Zertifikate beschrieben.The properties of these self-signed certificates are described in the Properties of the default self-signed certificates section.

Dies sind die wichtigsten Probleme, die Sie bei Zertifikaten in Exchange berücksichtigen müssen:These are the key issues that you need to consider when it comes to certificates in Exchange:

  • Sie müssen das selbstsignierte Microsoft Exchange-Zertifikat nicht ersetzen, um den Netzwerkdatenverkehr zwischen Exchange-Servern und -Diensten in Ihrer Organisation zu verschlüsseln.You don't need to replace the Microsoft Exchange self-signed certificate to encrypt network traffic between Exchange servers and services in your organization.

  • Sie benötigen zusätzliche Zertifikate zum Verschlüsseln von Verbindungen mit Exchange-Servern von internen und externen Clients.You need additional certificates to encrypt connections to Exchange servers by internal and external clients.

  • Sie benötigen zusätzliche Zertifikate, um die Verschlüsselung von SMTP-Verbindungen zwischen Exchange-Servern und externen Messagingservern zu erzwingen.You need additional certificates to force the encryption of SMTP connections between Exchange servers and external messaging servers.

Die folgenden Elemente der Planung und Bereitstellung für Exchange 2016 sind wichtige Faktoren für Ihre Zertifikatanforderungen:The following elements of planning and deployment for Exchange 2016 are important drivers for your certificate requirements:

Zertifikatanforderungen für Exchange-DiensteCertificate requirements for Exchange services

Die Exchange-Dienste, denen Zertifikate zugewiesen werden können, werden in der folgenden Tabelle beschrieben.The Exchange services that certificates can be assigned to are described in the following table.


DienstService BeschreibungDescription
IIS (HTTP)IIS (HTTP)
Standardmäßig werden die folgenden Dienste unter der Standardwebsite in den Clientzugriffs- (Front-End-)Diensten auf einem Postfachserver angeboten und von Clients zum Herstellen einer Verbindung mit Exchange verwendet:By default, the following services are offered under the default website in the Client Access (frontend) services on a Mailbox server, and are used by clients to connect to Exchange:
• Für die AutoErmittlung• Autodiscover
• Exchange ActiveSync• Exchange ActiveSync
• Exchange-Verwaltungskonsole• Exchange admin center
• Exchange-Webdienste• Exchange Web Services
• Offlineadressbuch (OAB)-Verteilung• Offline address book (OAB) distribution
•-Outlook im Anywhere (RPC über HTTP)• Outlook Anywhere (RPC over HTTP)
• Outlook MAPI über HTTP• Outlook MAPI over HTTP
• Outlook im web• Outlook on the web
• Remote-PowerShell*• Remote PowerShell*
Da Sie einer Website nur ein einzelnes Zertifikat zuordnen können, müssen alle DNS-Namen, mit denen Clients eine Verbindung zu diesen Diensten herstellen, in das Zertifikat aufgenommen werden. Sie erreichen dies mit einem SAN-Zertifikat oder einem Platzhalterzertifikat.Because you can only associate a single certificate with a website, all the DNS names that clients use to connect to these services need to be included in the certificate. You can accomplish this by using a SAN certificate or a wildcard certificate.
POP oder IMAPPOP or IMAP
Die für POP oder IMAP verwendeten Zertifikate können sich von dem Zertifikat unterscheiden, das für IIS verwendet wird. Um jedoch die Verwaltung zu vereinfachen, wird empfohlen, auch die für POP oder IMAP verwendeten Hostnamen in Ihr IIS-Zertifikat aufzunehmen und dasselbe Zertifikat für alle diese Dienste zu verwenden.The certificates that are used for POP or IMAP can be different from the certificate that's used for IIS. However, to simplify administration, we recommend that you also include the host names that are used for POP or IMAP in your IIS certificate, and use the same certificate for all of these services.
SMTPSMTP
SMTP-Verbindungen von Clients oder Messagingservern werden von einem oder mehreren Empfangsconnectors akzeptiert, die im Front-End-Transportdienst auf dem Exchange-Server konfiguriert sind. Weitere Informationen finden Sie unter Empfangsconnectors. SMTP connections from clients or messaging servers are accepted by one or more Receive connectors that are configured in the Front End Transport service on the Exchange server. For more information, see Receive connectors.
Um TLS-Verschlüsselung für SMTP-Verbindungen festzulegen, können Sie ein separates Zertifikat für jeden Empfangsconnector verwenden. Das Zertifikat muss den DNS-Namen enthalten, der von den SMTP-Clients oder -Servern zum Herstellen der Verbindung mit dem Empfangsconnector verwendet wird. Zur einfacheren Zertifikatverwaltung können Sie alle DNS-Namen, für die TLS-Datenverkehr unterstützt werden muss, in einem einzelnen Zertifikat zusammenfassen. To require TLS encryption for SMTP connections, you can use a separate certificate for each Receive connector. The certificate must include the DNS name that's used by the SMTP clients or servers to connect to the Receive connector. To simplify certificate management, consider including all DNS names for which you have to support TLS traffic in a single certificate.
Informationen zum Festlegen der gegenseitigen TLS-Authentifizierung, bei der die SMTP-Verbindungen zwischen den Quell- und Zielservern verschlüsselt und authentifiziert werden, finden Sie unter Domain Security.To require mutual TLS authentication, where the SMTP connections between the source and destination servers are both encrypted and authenticated, see Domain Security.
Unified Messaging (UM)Unified Messaging (UM)
Weitere Informationen finden Sie unter Deploying Certificates for UM.For more information, see Deploying Certificates for UM.
Hybridbereitstellung mit Microsoft Office 365Hybrid deployment with Microsoft Office 365
Weitere Informationen finden Sie unter Certificate Requirements for Hybrid Deployments.For more information, see Certificate Requirements for Hybrid Deployments.
Secure/Multipurpose Internet Mail Extensions (S/MIME)Secure/Multipurpose Internet Mail Extensions (S/MIME)
Weitere Informationen finden Sie unter S/MIME für die Nachrichtensignierung und -verschlüsselung.For more information, see S/MIME for message signing and encryption.

*Kerberos-Authentifizierung und Kerberos-Verschlüsselung werden für den PowerShell-Remotezugriff aus der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell verwendet. Aus diesem Grund müssen Sie die Zertifikate für die Verwendung mit remote-PowerShell konfigurieren, solange Sie direkt mit einem Exchange-Server (nicht zu einem Namespace-Lastenausgleich) verbinden. Um remote-PowerShell Verbindung mit einem Exchange-Server von einem Computer, der nicht Mitglied der Domäne ist, oder die Verbindung über das Internet zu verwenden, müssen Sie Ihre Zertifikate für die Verwendung mit remote-PowerShell konfigurieren.* Kerberos authentication and Kerberos encryption are used for remote PowerShell access, from both the Exchange admin center and the Exchange Management Shell. Therefore, you don't need to configure your certificates for use with remote PowerShell, as long as you connect directly to an Exchange server (not to a load balanced namespace). To use remote PowerShell to connect to an Exchange server from a computer that isn't a member of the domain, or to connect from the Internet, you need to configure your certificates for use with remote PowerShell.

Bewährte Methoden für Exchange-ZertifikateBest practices for Exchange certificates

Wenngleich die Konfiguration der digitalen Zertifikate Ihrer Organisation basierend auf Ihren spezifischen Anforderungen variiert, sollen die nachfolgend aufgeführten bewährten Methoden Sie bei der Auswahl der richtigen Konfiguration für Ihre digitalen Zertifikate unterstützen.Although the configuration of your organization's digital certificates will vary based on its specific needs, information about best practices has been included to help you choose the digital certificate configuration that's right for you.

  • Verwenden Sie möglichst wenige Zertifikate wie möglich: sehr wahrscheinlich Dies bedeutet mithilfe von SAN-Zertifikaten oder Platzhalterzertifikate. Im Hinblick auf die Interoperabilität mit Exchange sind beide funktional. Die Entscheidung, ob ein SAN-Zertifikat im Vergleich zu verwenden ist ein Platzhalterzertifikat mehr über die wichtigsten Funktionen oder Einschränkungen (real oder wahrgenommene) für jede Art von Zertifikat, wie in der Übersicht über digitale Zertifikatebeschrieben.Use as few certificates as possible: Very likely, this means using SAN certificates or wildcard certificates. In terms of interoperability with Exchange, both are functionally equivalent. The decision on whether to use a SAN certificate vs a wildcard certificate is more about the key capabilities or limitations (real or perceived) for each type of certificate as described in the Digital certificates overview.

    Befinden sich z. B. alle Ihre allgemeinen Namen auf derselben Ebene von contoso.com, spielt es keine Rolle, ob Sie ein SAN-Zertifikat oder ein Platzhalterzertifikat verwenden. Muss das Zertifikat jedoch für autodiscover.contoso.com, autodiscover.fabrikam.com und autodiscover.northamerica.contoso.com verwendet werden, müssen Sie ein SAN-Zertifikat verwenden.For example, if all of your common names will be in the same level of contoso.com, it doesn't matter if you use a SAN certificate or a wildcard certificate. But, if need to use the certificate for autodiscover.contoso.com, autodiscover.fabrikam.com, and autodiscover.northamerica.contoso.com, you need to use a SAN certificate.

  • Verwendung von Zertifikaten von einer kommerziellen Zertifizierungsstelle für Client- und externe Server-Verbindungen: Obwohl Sie die meisten Clients alle Zertifikat oder Aussteller des Zertifikats als vertrauenswürdig konfigurieren können, ist es viel einfacher, ein Zertifikat von einer kommerziellen Zertifizierungsstelle für Clientverbindungen zu verwenden die Exchange-Server. Auf dem Client ist keine Konfiguration erforderlich, um ein Zertifikat zu vertrauen, die von einer kommerziellen Zertifizierungsstelle ausgestellt wurde. Viele kommerzielle Zertifizierungsstellen Angebot Zertifikate, die speziell für Exchange konfiguriert sind. Sie können der Exchange-Verwaltungskonsole oder die Exchange-Verwaltungsshell verwenden, um Zertifikatsanfragen zu generieren, mit denen meisten kommerziellen Zertifizierungsstellen zusammenarbeiten.Use certificates from a commercial CA for client and external server connections: Although you can configure most clients to trust any certificate or certificate issuer, it's much easier to use a certificate from a commercial CA for client connections to your Exchange servers. No configuration is required on the client to trust a certificate that's issued by a commercial CA. Many commercial CAs offer certificates that are configured specifically for Exchange. You can use the EAC or the Exchange Management Shell to generate certificate requests that work with most commercial CAs.

  • Wählen Sie die rechts kommerzielle Zertifizierungsstelle: Zertifikat Preise und zwischen CAs-Features verglichen werden soll. Zum Beispiel:Choose the right commercial CA: Compare certificate prices and features between CAs. For example:

    • Wählen Sie eine Zertifizierungsstelle, die „Unified Communications-Zertifikate" (UC) zur Verwendung mit Exchange unterstützt. Weitere Informationen finden Sie unter Unified Communications-Zertifikat-Partner.Choose a CA that says it supports "Unified Communications" (UC) certificates for use with Exchange. For more information, see Unified Communications certificate partners.

    • Überprüfen Sie, ob die Clients (Betriebssysteme, Browser und mobile Geräte), die eine Verbindung mit Ihren Exchange-Servern herstellen, die Zertifizierungsstelle als vertrauenswürdig einstufen.Verify that the CA is trusted by the clients (operating systems, browsers, and mobile devices) that connect to your Exchange servers.

    • Überprüfen Sie, ob die Zertifizierungsstelle die Art von Zertifikat unterstützt, die Sie benötigen. Nicht alle Zertifizierungsstellen unterstützen z B. SAN-Zertifikate, möglicherweise beschränkt die Zertifizierungsstelle die Anzahl von allgemeinen Namen in einem SAN-Zertifikat, oder sie berechnet zusätzliche Kosten basierend auf der Anzahl der allgemeinen Namen in einem SAN-Zertifikat.Verify that the CA supports the kind of certificate that you need. For example, not all CAs support SAN certificates, the CA might limit the number of common names that you can use in a SAN certificate, or the CA may charge extra based on the number of common names in a SAN certificate.

    • Erkundigen Sie sich, ob die Zertifizierungsstelle eine Karenzzeit bietet, in der Sie zusätzliche allgemeine Namen zu SAN-Zertifikaten hinzufügen können, nachdem sie kostenlos ausgestellt wurden.See if the CA offers a grace period during which you can add additional common names to SAN certificates after they're issued without being charged.

    • Überprüfen Sie, ob die Lizenz des Zertifikats die Verwendung des Zertifikats auf der erforderlichen Anzahl von Servern zulässt. Bei einigen Zertifizierungsstellen darf ein Zertifikat nur auf einem Server verwendet werden.Verify that the certificate's license allows you to use the certificate on the required number of servers. Some CAs only allow you to use the certificate on one server.

  • Verwenden Sie den Exchange-Zertifikat-Assistenten: ein allgemeiner Fehler bei der Erstellung von Zertifikaten ist eine oder mehrere allgemeine Namen vergessen, die für die Dienste erforderlich sind, die Sie verwenden möchten. Der Zertifikat-Assistenten in der Exchange-Verwaltungskonsole können Sie die korrekte Liste der gängigen Namen in die zertifikatanforderung einschließen. Der Assistent ermöglicht die Angabe der Dienste, die das Zertifikat verwendet und enthält die allgemeinen Namen, die Sie benötigen, in das Zertifikat für diese Dienste. Führen Sie den Zertifikat-Assistenten, wenn Sie Ihre ersten Satz 2016 Exchange Server bereitgestellt und bestimmt, welche Hostnamen für die verschiedenen Dienste für die Bereitstellung zu verwendende haben.Use the Exchange certificate wizard: A common error when you create certificates is to forget one or more common names that are required for the services that you want to use. The certificate wizard in the Exchange admin center helps you include the correct list of common names in the certificate request. The wizard lets you specify the services that will use the certificate, and includes the common names that you need to have in the certificate for those services. Run the certificate wizard when you've deployed your initial set of Exchange 2016 servers and determined which host names to use for the different services for your deployment.

  • Verwenden, wie wenige Namen wie möglich zu hosten: Minimieren der Anzahl der Hostnamen in SAN-Zertifikaten reduziert die Komplexität, die Verwaltung von Zertifikaten beteiligt ist. Nicht der Meinung sind verpflichtet, die Hostnamen der einzelnen Exchange-Servern in SAN-Zertifikate verwenden, wenn die vorgesehene Verwendung für das Zertifikat nicht erforderlich. In der Regel müssen Sie nur die DNS-Namen enthalten, die angezeigt werden, die interne Clients externe Clients oder externen Server, auf denen das Zertifikat mit Exchange herstellen.Use as few host names as possible: Minimizing the number of host names in SAN certificates reduces the complexity that's involved in certificate management. Don't feel obligated to include the host names of individual Exchange servers in SAN certificates if the intended use for the certificate doesn't require it. Typically, you only need to include the DNS names that are presented to the internal clients, external clients, or external servers that use the certificate to connect to Exchange.

    Für eine einfache Exchange 2016-Organisation namens Contoso ist dies ein hypothetisches Beispiel für die mindestens erforderlichen Hostnamen:For a simple Exchange 2016 organization named Contoso, this is a hypothetical example of the minimum host names that would be required:

    • Mail.contoso.com: Dieser Hostname deckt die meisten Verbindungen mit Exchange, einschließlich Outlook, Outlook im Web OAB Verteilung, Exchange-Webdienste, POP3, IMAP4, SMTP, Exchange-Verwaltungskonsole und Exchange ActiveSync.mail.contoso.com: This host name covers most connections to Exchange, including Outlook, Outlook on the web, OAB distribution, Exchange Web Services, POP3, IMAP4, SMTP, Exchange admin center, and Exchange ActiveSync.

    • "autodiscover.contoso.com": Dieser Hostname für bestimmte Clients, die AutoErmittlung unterstützen, einschließlich der Exchange-Webdienste, Outlook und Exchange ActiveSync-Clients unterstützen erforderlich ist. Weitere Informationen finden Sie unter AutoErmittlungsdienst.autodiscover.contoso.com: This specific host name is required by clients that support Autodiscover, including Outlook, Exchange ActiveSync, and Exchange Web Services clients. For more information, see Autodiscover service.

    • Legacy.contoso.com: Dieser Hostname ist in einem Szenario mit Koexistenz mit Exchange 2010 erforderlich. Wenn Sie Clients mit Postfächern auf Exchange 2010-Servern müssen, verhindert Konfigurieren eines legacyhostnamens einen zweiten URL während des Upgradeprozesses Hier erfahren, dass Ihre Benutzer.legacy.contoso.com: This host name is required in a coexistence scenario with Exchange 2010. If you'll have clients with mailboxes on Exchange 2010 servers, configuring a legacy host name prevents your users from having to learn a second URL during the upgrade process.

Eigenschaften der standardmäßigen selbstsignierten ZertifikateProperties of the default self-signed certificates

Einige interessante Eigenschaften der standardmäßigen selbstsignierten Zertifikate, die in der Exchange-Verwaltungskonsole und/oder der Exchange-Verwaltungsshell auf einem Exchange-Server angezeigt werden, werden in der folgenden Tabelle beschrieben.Some of the more interesting properties of the default self-signed certificates that are visible in the Exchange admin center and/or the Exchange Management Shell on an Exchange server are described in the following table.


Name (FriendlyName)Name (FriendlyName)
Microsoft ExchangeMicrosoft Exchange
Microsoft Exchange-Zertifikat für die ServerauthentifizierungMicrosoft Exchange Server Auth Certificate
WMSVCWMSVC
SubjectSubject
CN=<ServerName>(z. B. CN=Mailbox01)CN=<ServerName> (for example, CN=Mailbox01)
CN=Microsoft Exchange Server Auth Certificate
CN=WMSvc-<ServerName>(z. B. CN=WMSvc-Mailbox01)CN=WMSvc-<ServerName> (for example, CN=WMSvc-Mailbox01)
Alternative Antragstellernamen (CertificateDomains)Subject Alternative Names (CertificateDomains)
<ServerName> (beispielsweise "mailbox01")<ServerName> (for example, Mailbox01)
<FQDN des Servers> (beispielsweise Mailbox01.contoso.com)<ServerFQDN> (for example, Mailbox01.contoso.com)
n/znone
WMSvc-<ServerName>(z. B. WMSvc-Mailbox01)WMSvc-<ServerName> (for example, WMSvc-Mailbox01)
Hat privaten Schlüssel ("HasPrivateKey", sagt)Has private key (HasPrivateKey)
Ja (True)Yes (True)
Ja (True)Yes (True)
Ja (True)Yes (True)
PrivateKeyExportable*PrivateKeyExportable*
FalseFalse
WahrTrue
WahrTrue
EnhancedKeyUsageList*EnhancedKeyUsageList*
Serverauthentifizierung (1.3.6.1.5.5.7.3.1)Server Authentication (1.3.6.1.5.5.7.3.1)
Serverauthentifizierung (1.3.6.1.5.5.7.3.1)Server Authentication (1.3.6.1.5.5.7.3.1)
Serverauthentifizierung (1.3.6.1.5.5.7.3.1)Server Authentication (1.3.6.1.5.5.7.3.1)
IISServices*IISServices*
IIS://<ServerName>/W3SVC/1, IIS://<ServerName>/W3SVC/2(z. B. IIS://Mailbox01/W3SVC/1, IIS://Mailbox01/W3SVC/2)IIS://<ServerName>/W3SVC/1, IIS://<ServerName>/W3SVC/2 (for example, IIS://Mailbox01/W3SVC/1, IIS://Mailbox01/W3SVC/2)
n/vnone
n/vnone
IsSelfSignedIsSelfSigned
TrueTrue
WahrTrue
WahrTrue
AusstellerIssuer
CN=<ServerName>(z. B. CN=Mailbox01)CN=<ServerName> (for example, CN=Mailbox01)
CN=Microsoft Exchange Server Auth Certificate
CN=WMSvc-<ServerName>(z. B. "CN = WMSvc-" mailbox01 ")CN=WMSvc-<ServerName> (for example, `CN=WMSvc-Mailbox01)
Nicht vorNotBefore
Datum/Uhrzeit der Installation von Exchange.The date/time that Exchange was installed.
Datum/Uhrzeit der Installation von Exchange.The date/time that Exchange was installed.
Datum/Uhrzeit der Installation des IIS-Webverwaltungsdiensts.The date/time that the IIS Web Manager service was installed.
Läuft am (nicht nach)Expires on (NotAfter)
5 Jahre nach NotBefore.5 years after NotBefore.
5 Jahre nach NotBefore.5 years after NotBefore.
nach zehn Jahren NotBefore.10 years after NotBefore.
Größe des öffentlichen Schlüssels (PublicKeySize)Public key size (PublicKeySize)
20482048
20482048
20482048
RootCATypeRootCAType
RegistrierungRegistry
KeineNone
RegistrierungRegistry
DiensteServices
IMAP, POP, IIS, SMTPIMAP, POP, IIS, SMTP
SMTPSMTP
KeineNone

*Diese Eigenschaften werden nicht in der standard-Ansicht in der Exchange-Verwaltungsshell angezeigt. Um diese anzuzeigen, müssen Sie den Eigenschaftsnamen (genauen Namen oder Platzhalter Übereinstimmung) mit den Format-Table "oder" Format-List -Cmdlets angeben. Zum Beispiel:* These properties aren't visible in the standard view in the Exchange Management Shell. To see them, you need to specify the property name (exact name or wildcard match) with the Format-Table or Format-List cmdlets. For example:

  • Get-ExchangeCertificate -Thumbprint <Thumbprint> | Format-List *

  • Get-ExchangeCertificate -Thumbprint <Thumbprint> | Format-Table -Auto FriendlyName,*PrivateKey*

Weitere Informationen finden Sie unter Get-ExchangeCertificate.For more information, see Get-ExchangeCertificate.

Weitere Informationen zu den standardmäßigen selbstsignierten Zertifikaten, die im Windows Zertifikat-Manager sichtbar sind, werden in der folgenden Tabelle beschrieben.Further details about the default self-signed certificates that are visible in Windows Certificate Manger are described in the following table.


AnzeigenameFriendly name
Microsoft ExchangeMicrosoft Exchange
Microsoft Exchange-Zertifikat für die ServerauthentifizierungMicrosoft Exchange Server Auth Certificate
WMSVCWMSVC
SignaturalgorithmusSignature algorithm
sha1RSAsha1RSA
sha1RSAsha1RSA
sha1RSAsha1RSA
SignaturhashalgorithmusSignature hash algorithm
SHA1sha1
SHA1sha1
SHA1sha1
SchlüsselverwendungKey usage
Digitale Signatur, Schlüsselverschlüsselung (a0)Digital Signature, Key Encipherment (a0)
Digitale Signatur, Schlüsselverschlüsselung (a0)Digital Signature, Key Encipherment (a0)
Digitale Signatur, Schlüsselverschlüsselung (a0), Datenverschlüsselung (b0 00 00 00)Digital Signature, Key Encipherment (a0), Data Encipherment (b0 00 00 00)
BasiseinschränkungenBasic constraints
Subject Type=End Entity
Path Length Constraint=None.
Subject Type=End Entity
Path Length Constraint=None
N/Vn/a
FingerabdruckalgorithmusThumbprint algorithm
SHA1sha1
SHA1sha1
SHA1sha1

Normalerweise verwenden Sie nicht den Windows Zertifikat-Manager zum Verwalten von Exchange-Zertifikaten (verwenden Sie die Exchange-Verwaltungskonsole oder die Exchange-Verwaltungsshell). Beachten Sie, dass das WMSVC-Zertifikat kein Exchange-Zertifikat ist.Typically, you don't use Windows Certificate Manger to manage Exchange certificates (use the Exchange admin center or the Exchange Management Shell). Note that the WMSVC certificate isn't an Exchange certificate.