Digitale Zertifikate und SSLDigital certificates and SSL

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Secure Sockets Layer (SSL) ist eine Methode zum Absichern der Kommunikation zwischen einem Client und einem Server. Für Exchange Server 2013 ist SSL verwendet zur sichere Kommunikation zwischen dem Server und Clients. Clients gehören Mobiltelefone, Computer im Netzwerk einer Organisation und Computer außerhalb des Unternehmensnetzwerks.Secure Sockets Layer (SSL) is a method for securing communications between a client and a server. For Exchange Server 2013, SSL is used to help secure communications between the server and clients. Clients include mobile phones, computers inside an organization's network, and computers outside an organization's network.

Standardmäßig bei der Installation von Exchange 2013, sind Clientkommunikation mit SSL verschlüsselt, wenn Sie Outlook Web App, Exchange ActiveSync und Outlook Anywhere verwenden.By default, when you install Exchange 2013, client communications are encrypted using SSL when you use Outlook Web App, Exchange ActiveSync, and Outlook Anywhere.

SSL ist erforderlich für die Verwendung von digitalen Zertifikaten. In diesem Thema werden die verschiedenen Arten von digitalen Zertifikaten und Informationen zum Konfigurieren von Exchange 2013 für die Verwendung dieser Arten von digitalen Zertifikaten verwenden zusammengefasst.SSL requires you to use digital certificates. This topic summarizes the different types of digital certificates and information about how to configure Exchange 2013 to use these types of digital certificates.

InhaltContents

Übersicht über digitale ZertifikateOverview of digital certificates

Digitale Zertifikate und ProxyfunktionDigital certificates and proxying

Bewährte Methoden für digitale ZertifikateDigital certificates best practices

Übersicht über digitale ZertifikateOverview of digital certificates

Digitale Zertifikate sind elektronische Dateien, die wie Onlinekennwörter funktionieren, um die Identität eines Benutzers oder eines Computers zu überprüfen. Sie werden verwendet, um den SSL-verschlüsselten Kanal zu erstellen, der für die Clientkommunikation verwendet wird. Ein Zertifikat ist eine digitale Bescheinigung von einer Zertifizierungsstelle (Certification Authority, CA), die die Identität des Zertifikatinhabers bestätigt und den Parteien eine sichere Kommunikation durch die Verschlüsselung von Daten ermöglicht.Digital certificates are electronic files that work like an online password to verify the identity of a user or a computer. They're used to create the SSL encrypted channel that's used for client communications. A certificate is a digital statement that's issued by a certification authority (CA) that vouches for the identity of the certificate holder and enables the parties to communicate in a secure manner using encryption.

Digitale Zertifikate bewirken Folgendes:Digital certificates do the following:

  • Sie bestätigen, dass ihre Inhaber – Personen, Websites und sogar Netzwerkressourcen wie z. B. Router – wirklich das sind, was sie vorgeben zu sein.They authenticate that their holders—people, websites, and even network resources such as routers—are truly who or what they claim to be.

  • Sie schützen online ausgetauschte Daten vor Diebstahl und Manipulation.They protect data that's exchanged online from theft or tampering.

Digitale Zertifikate können von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle oder einer Windows public Key-Infrastruktur (PKI) mit den Zertifikatdiensten ausgestellt werden, oder eines selbstsignierten sein. Jede Art von Zertifikat hat vor- und Nachteile. Jede Art von digitalen Zertifikats ist genehmigten und kann nicht gefälscht sein.Digital certificates can be issued by a trusted third-party CA or a Windows public key infrastructure (PKI) using Certificate Services, or they can be self-signed. Each type of certificate has advantages and disadvantages. Each type of digital certificate is tamper-proof and can't be forged.

Zertifikate können für verschiedene Zwecke ausgestellt werden. Zum Beispiel zur Webbenutzerauthentifizierung, zur Webserverauthentifizierung, für S/MIME (Secure/Multipurpose Internet Mail Extensions), IPsec (Internet Protocol Security), TLS (Transport Layer Security) und zur Codesignierung.Certificates can be issued for several uses. These uses include web user authentication, web server authentication, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), Transport Layer Security (TLS), and code signing.

Ein Zertifikat enthält einen öffentlichen Schlüssel und fügt diese öffentlichen Schlüssel an die Identität einer Person, der Computer oder der Dienst, der den entsprechenden privaten Schlüssel enthält. Die öffentliche und private Schlüssel werden zum Verschlüsseln von Daten, bevor sie übertragen wird vom Client und dem Server verwendet. Vertrauen in einer Zertifizierungsstelle ist für Windows-basierten Benutzer, Computer und Dienste vorhanden, wenn eine Kopie des Stammzertifikats im Zertifikatspeicher vertrauenswürdigen Stammzertifizierungsstellen vorhanden ist und das Zertifikat einen gültigen Zertifizierungspfad enthält. Für das Zertifikat gültig ist, ist das Zertifikat nicht gesperrt wurde, und der Gültigkeitszeitraum darf nicht abgelaufen ist.A certificate contains a public key and attaches that public key to the identity of a person, computer, or service that holds the corresponding private key. The public and private keys are used by the client and the server to encrypt the data before it's transmitted. For Windows-based users, computers, and services, trust in a CA is established when there's a copy of the root certificate in the trusted root certificate store and the certificate contains a valid certification path. For the certificate to be valid, the certificate must not have been revoked and the validity period must not have expired.

ZertifikattypenTypes of certificates

Es gibt drei wichtige Arten von digitalen Zertifikaten: selbstsignierte Zertifikate, Windows-PKI-generierte Zertifikate und Zertifikate von Drittanbietern.There are three primary types of digital certificates: self-signed certificates, Windows PKI-generated certificates, and third-party certificates.

Selbstsignierte ZertifikateSelf-signed certificates

Wenn Sie Exchange 2013 installieren, wird ein selbstsigniertes Zertifikat auf den Postfachservern automatisch konfiguriert. Von der Anwendung, die sie erstellt haben, ist ein selbstsigniertes Zertifikat signiert. Der Betreff und den Namen des Zertifikats überein. Den Aussteller und den Betreff werden auf dem Zertifikat definiert. Das selbstsignierte Zertifikat wird zum Verschlüsseln der Kommunikation zwischen dem Clientzugriffsserver und Postfachserver. Der Clientzugriffsserver vertraut des selbstsignierten Zertifikats auf dem Postfachserver automatisch, sodass kein Drittanbieter-Zertifikat auf dem Postfachserver erforderlich ist. Bei der Installation von Exchange 2013 ist auch ein selbstsigniertes Zertifikat auf dem Client Access Server erstellt. Das selbstsignierte Zertifikat wird einige Client Protokolle zur Verwendung von SSL für ihre Kommunikation ermöglichen. Exchange ActiveSync und Outlook Web App können eine SSL-Verbindung mithilfe eines selbstsignierten Zertifikats einrichten. Outlook Anywhere mit einem selbstsignierten Zertifikat auf dem Clientzugriffsserver, funktionieren nicht. Selbstsignierte Zertifikate müssen manuell in den Speicher für vertrauenswürdige Stammzertifikate auf dem Clientcomputer oder mobilen Gerät kopiert werden. Wenn ein Client sich mit einem Server über SSL verbindet und der Server ein selbstsigniertes Zertifikat stellt, wird der Client aufgefordert, stellen Sie sicher, dass das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Der Client muss die ausstellende Stelle als vertrauenswürdig einstufen. Wenn der Client die Vertrauensstellung bestätigt, können SSL-Kommunikation fortsetzen.When you install Exchange 2013, a self-signed certificate is automatically configured on the Mailbox servers. A self-signed certificate is signed by the application that created it. The subject and the name of the certificate match. The issuer and the subject are defined on the certificate. This self-signed certificate is used to encrypt communications between the Client Access server and the Mailbox server. The Client Access server trusts the self-signed certificate on the Mailbox server automatically, so no third-party certificate is needed on the Mailbox server. When you install Exchange 2013, a self-signed certificate is also created on the Client Access server. This self-signed certificate will allow some client protocols to use SSL for their communications. Exchange ActiveSync and Outlook Web App can establish an SSL connection by using a self-signed certificate. Outlook Anywhere won't work with a self-signed certificate on the Client Access server. Self-signed certificates must be manually copied to the trusted root certificate store on the client computer or mobile device. When a client connects to a server over SSL and the server presents a self-signed certificate, the client will be prompted to verify that the certificate was issued by a trusted authority. The client must explicitly trust the issuing authority. If the client confirms the trust, then SSL communications can continue.

Hinweis

Standardmäßig ist das auf Postfachservern installierte digitale Zertifikat ein selbstsigniertes Zertifikat. Sie müssen das selbstsignierte Zertifikat auf den Postfachservern in Ihrer Organisation nicht durch ein vertrauenswürdiges Drittanbieterzertifikat ersetzen. Der Clientzugriffsserver vertraut automatisch dem selbstsignierten Zertifikat auf dem Postfachserver, sodass auf dem Postfachserver keine andere Konfiguration für Zertifikate benötigt wird.By default, the digital certificate installed on the Mailbox server or servers is a self-signed certificate. You don’t need to replace the self-signed certificate on the Mailbox servers in your organization with a trusted third-party certificate. The Client Access server automatically trusts the self-signed certificate on the Mailbox server and no other configuration is needed for certificates on the Mailbox server.

Kleine Organisationen entscheiden sich häufig gegen die Verwendung eines Drittanbieterzertifikats oder die Installation einer eigenen PKI zur Ausstellung eigener Zertifikate. Die Gründe hierfür lauten oft, dass sie die Kosten scheuen und/oder ihre Administratoren nicht über entsprechende Erfahrungen und Kenntnisse bei der Erstellung einer eigenen Zertifikathierarchie verfügen. Bei der Verwendung von selbstsignierten Zertifikaten sind die Kosten minimal, und die Einrichtung ist einfach. Das Erstellen einer Infrastruktur zur Lebenszyklusverwaltung, Erneuerung, Vertrauensverwaltung und Sperrung von Zertifikaten ist bei selbstsignierten Zertifikaten jedoch wesentlich schwieriger.Frequently, small organizations decide not to use a third-party certificate or not to install their own PKI to issue their own certificates. They might make this decision because those solutions are too expensive, because their administrators lack the experience and knowledge to create their own certificate hierarchy, or for both reasons. The cost is minimal and the setup is simple when you use self-signed certificates. However, it's much more difficult to establish an infrastructure for certificate life-cycle management, renewal, trust management, and revocation when you use self-signed certificates.

Windows PKI-ZertifikateWindows public key infrastructure certificates

Der zweite Typ des Zertifikats ist ein Windows-PKI-generierte Zertifikat. Eine PKI ist ein System von digitalen Zertifikaten, Zertifizierungsstellen und Registrierungsstellen (RAs), die die Gültigkeit aller Parteien, die an einer elektronischen Transaktion beteiligt ist, mithilfe von öffentlichen Schlüsseln überprüft und authentifiziert. Beim Implementieren einer PKI in einer Organisation, die Active Directory verwendet, geben Sie eine Infrastruktur für die Anwendungslebenszyklus-Verwaltung von Zertifikaten, Verlängerung, Verwaltung von Vertrauensstellungen und Sperrung. Es ist jedoch einige zusätzliche Kosten bei der Bereitstellung von Servern und Infrastruktur zum Erstellen und Verwalten von Windows-PKI-generierte Zertifikate.The second type of certificate is a Windows PKI-generated certificate. A PKI is a system of digital certificates, certification authorities, and registration authorities (RAs) that verify and authenticate the validity of each party that's involved in an electronic transaction by using public key cryptography. When you implement a PKI in an organization that uses Active Directory, you provide an infrastructure for certificate life-cycle management, renewal, trust management, and revocation. However, there is some additional cost involved in deploying servers and infrastructure to create and manage Windows PKI-generated certificates.

Zertifikatdienste sind erforderlich, um die Bereitstellung einer Windows-PKI und über Software in der Systemsteuerung installiert werden können. Sie können die Zertifikatdienste auf allen Servern in der Domäne installieren.Certificate Services are required to deploy a Windows PKI and can be installed through Add Or Remove Programs in Control Panel. You can install Certificate Services on any server in the domain.

Wenn Sie Zertifikate von einer Domäne eingebundener Windows-Zertifizierungsstelle erhalten haben, können Sie die Zertifizierungsstelle Zertifikate anfordern oder registrieren Sie sich zum Ausstellen von für Ihre eigenen Server oder Computer in Ihrem Netzwerk verwenden. So können Sie eine PKI verwenden, die einen Drittanbieter-Zertifikat Hersteller ähnelt kostengünstigeren. Diese PKI-Zertifikate können nicht öffentlich bereitgestellt werden, wie andere Typen von Zertifikaten werden können. Eine PKI-Zertifizierungsstelle mithilfe des privaten Schlüssels das jeweilige Zertifikat signiert, wird jedoch der Requestor überprüft. Der öffentliche Schlüssel der Zertifizierungsstelle ist Teil des Zertifikats. Ein Server, der das Zertifikat in den vertrauenswürdigen Stammzertifizierungsstellen-Zertifikat gespeichert hat können dieses öffentlichen Schlüssels entschlüsseln das jeweilige Zertifikat und den Requestor zu authentifizieren.If you obtain certificates from a domain-joined Windows CA, you can use the CA to request or sign certificates to issue to your own servers or computers on your network. This enables you to use a PKI that resembles a third-party certificate vendor, but is less expensive. These PKI certificates can't be deployed publicly, as other types of certificates can be. However, when a PKI CA signs the requestor's certificate by using the private key, the requestor is verified. The public key of this CA is part of the certificate. A server that has this certificate in the trusted root certificate store can use that public key to decrypt the requestor's certificate and authenticate the requestor.

Die Schritte zur Bereitstellung einer PKI-generierte Zertifikat ähneln für die Bereitstellung von ein selbstsigniertes Zertifikat erforderlich. Sie müssen eine Kopie des vertrauenswürdigen Stammzertifikats aus der PKI dennoch installieren, in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen des Computern oder mobilen Geräten, die Sie eine SSL-Verbindung mit Microsoft Exchange herstellen möchten.The steps for deploying a PKI-generated certificate resemble those required for deploying a self-signed certificate. You must still install a copy of the trusted root certificate from the PKI to the trusted root certificate store of the computers or mobile devices that you want to be able to establish an SSL connection to Microsoft Exchange.

Einer Windows-PKI können Organisationen ihre eigenen Zertifikate veröffentlichen. Clients können anfordern und Empfangen von Zertifikaten von einer Windows PKI im internen Netzwerk. Die Windows-PKI können erneuern oder Sperren von Zertifikaten.A Windows PKI enables organizations to publish their own certificates. Clients can request and receive certificates from a Windows PKI on the internal network. The Windows PKI can renew or revoke certificates.

Vertrauenswürdige DrittanbieterzertifikateTrusted third-party certificates

Bei Drittanbieter- oder kommerziellen Zertifikaten handelt es sich um Zertifikate, die von einer Drittanbieter- oder kommerziellen Zertifizierungsstelle erzeugt werden und die Sie anschließend zur Verwendung auf Ihren Netzwerkservern erwerben können. Bei selbstsignierten und PKI-basierten Zertifikaten besteht das Problem, dass das Zertifikat vom Clientcomputer oder mobilen Gerät nicht automatisch als vertrauenswürdig eingestuft wird. Sie müssen sicherstellen, dass das Zertifikat in den Informationsspeicher für vertrauenswürdige Stammzertifikate auf Clientcomputern und anderen Geräten importiert wird. Bei kommerziellen Zertifikaten oder Zertifikaten von Drittanbietern tritt dieses Problem nicht auf. Die meisten kommerziellen CA-Zertifikate werden bereits als vertrauenswürdig eingestuft, da sich das Zertifikat bereits im Informationsspeicher für vertrauenswürdige Stammzertifikate befindet. Da der Aussteller als vertrauenswürdig eingestuft wird, gilt dies auch für das Zertifikat. Die Verwendung von Drittanbieterzertifikaten vereinfacht die Bereitstellung erheblich.Third-party or commercial certificates are certificates that are generated by a third-party or commercial CA and then purchased for you to use on your network servers. One problem with self-signed and PKI-based certificates is that, because the certificate is not automatically trusted by the client computer or mobile device, you must make sure that you import the certificate into the trusted root certificate store on client computers and devices. Third-party or commercial certificates do not have this problem. Most commercial CA certificates are already trusted because the certificate already resides in the trusted root certificate store. Because the issuer is trusted, the certificate is also trusted. Using third-party certificates greatly simplifies deployment.

Größere Organisationen oder Organisationen, die Zertifikate öffentlich bereitstellen müssen, sollten Drittanbieter- oder kommerzielle Zertifikate verwenden, auch wenn dies mit Kosten verbunden ist. Für kleine und mittelständische Organisationen stellen kommerzielle Zertifikate unter Umständen nicht die beste Lösung dar, und es sollten andere Zertifikatoptionen in Betracht gezogen werden.For larger organizations or organizations that must publicly deploy certificates, the best solution is to use a third-party or commercial certificate, even though there is a cost associated with the certificate. Commercial certificates may not be the best solution for small and medium-size organizations, and you might decide to use one of the other certificate options that are available.

Zurück zum SeitenanfangReturn to top

Auswählen eines ZertifikattypsChoosing a certificate type

Wenn Sie den Typ des zu installierenden Zertifikats wählen, werden gibt es verschiedene Aspekte beachtet. Gültig ist, muss ein Zertifikat signiert werden. Es kann selbstsigniert oder von einer Zertifizierungsstelle signiert werden. Ein selbstsigniertes Zertifikat ist eingeschränkt. Nicht alle mobilen Geräte können beispielsweise eine Installation Benutzer eines digitalen Zertifikats im vertrauenswürdigen Stammzertifizierungsstellen-Zertifikat gespeichert. Die Möglichkeit zum Installieren von Zertifikaten auf einem mobilen Gerät je nach Hersteller des mobilen Geräts und Dienstanbieter für mobiles. Einige Hersteller und Mobilfunkbetreibern Deaktivieren des Zugriffs auf den Speicher für vertrauenswürdige Stammzertifikate. In diesem Fall kann ein selbstsigniertes Zertifikat weder ein Zertifikat von einer Windows PKI-Zertifizierungsstelle auf dem mobilen Gerät installiert werden.When you choose the type of certificate to install, there are several things to consider. A certificate must be signed to be valid. It can be self-signed or signed by a CA. A self-signed certificate has limitations. For example, not all mobile devices let a user install a digital certificate in the trusted root certificate store. The ability to install certificates on a mobile device depends on the mobile device manufacturer and the mobile service provider. Some manufacturers and mobile service providers disable access to the trusted root certificate store. In this case, neither a self-signed certificate nor a certificate from a Windows PKI CA can be installed on the mobile device.

Exchange-StandardzertifikateDefault Exchange certificates

Standardmäßig wird Exchange ein selbstsigniertes Zertifikat auf dem Clientzugriffsserver und Postfachserver installiert, sodass gesamte Netzwerkkommunikation verschlüsselt werden. Verschlüsseln die gesamte Netzwerkkommunikation erfordert, dass alle Exchange-Server ein x. 509-Zertifikat verfügen, die es verwenden kann. Sie sollten diese selbstsignierte Zertifikat auf dem Clientzugriffsserver mit einem ersetzen, die von den Clients automatisch als vertrauenswürdig ist.By default, Exchange installs a self-signed certificate on both the Client Access server and the Mailbox server so that all network communication is encrypted. Encrypting all network communication requires that every Exchange server have an X.509 certificate that it can use. You should replace this self-signed certificate on the Client Access server with one that is automatically trusted by your clients.

"Selbstsigniert" bedeutet, dass ein Zertifikat erstellt und nur von der Exchange-Server selbst signiert wurde. Da es wurde nicht erstellt und von einer im Allgemeinen vertrauenswürdigen Zertifizierungsstelle signiert, wird nicht das selbstsignierte Standardzertifikat Software mit Ausnahme von anderen Exchange-Servern in derselben Organisation vertrauenswürdig sein. Das Standardzertifikat ist für alle Exchange-Dienste aktiviert. Es wurde einen Alternativer Antragstellername (SAN), der die den Servernamen des Exchange-Servers entspricht, die auf dem er installiert ist. Es wurde auch eine Liste der SANs, die den Namen des Servers und den vollqualifizierten Domänennamen (FQDN) des Servers enthalten.“Self-signed” means that a certificate was created and signed only by the Exchange server itself. Because it wasn't created and signed by a generally trusted CA, the default self-signed certificate won't be trusted by any software except other Exchange servers in the same organization. The default certificate is enabled for all Exchange services. It has a subject alternative name (SAN) that corresponds to the server name of the Exchange server that it's installed on. It also has a list of SANs that include both the server name and the fully qualified domain name (FQDN) of the server.

Obwohl anderen Exchange-Servern in Ihrer Exchange-Organisation automatisch dieses Zertifikat vertrauen, wird nicht automatisch vertrauen durch Clients wie Webbrowser, Outlook-Clients, Mobiltelefone und andere e-Mail-Clients zusätzlich zur externen e-Mail-Servern. Aus diesem Grund sollten dieses Zertifikat mit einem vertrauenswürdigen Drittanbieter-Zertifikat auf Ihrem Exchange-Clientzugriffsserver ersetzt werden. Wenn Sie Ihre eigene interne PKI haben und alle Clients dieser Entität vertrauen, können Sie auch Zertifikate verwenden, die sich selbst ausstellen zu lassen.Although other Exchange servers in your Exchange organization trust this certificate automatically, clients like web browsers, Outlook clients, mobile phones, and other email clients in addition to external email servers won't automatically trust it. Therefore, consider replacing this certificate with a trusted third-party certificate on your Exchange Client Access servers. If you have your own internal PKI, and all your clients trust that entity, you can also use certificates that you issue yourself.

Zertifikatanforderungen nach DienstCertificate requirements by service

Zertifikate werden für einige Dinge im Exchange verwendet. Die meisten Kunden verwenden Zertifikate auch auf mehrere Exchange-Server. Im Allgemeinen weniger Zertifikate vorhanden sind, wird die einfachere Verwaltung von Zertifikaten.Certificates are used for several things in Exchange. Most customers also use certificates on more than one Exchange server. In general, the fewer certificates you have, the easier certificate management becomes.

IISIIS

Die folgenden Exchange-Dienste verwenden das gleiche Zertifikat auf einem bestimmten Exchange-Clientzugriffsserver:All the following Exchange services use the same certificate on a given Exchange Client Access server:

  • Outlook Web AppOutlook Web App

  • Exchange-Verwaltungskonsole (EAC)Exchange Administration Center (EAC)

  • Exchange-WebdiensteExchange Web Services

  • Exchange ActiveSyncExchange ActiveSync

  • Outlook AnywhereOutlook Anywhere

  • AutoErmittlungAutodiscover

  • Outlook-Adressbuch VerteilungOutlook Address Book distribution

Da einer Website nur ein einziges Zertifikat zugeordnet werden kann und alle genannten Dienste standardmäßig über eine einzelne Website bereitgestellt werden, müssen alle Namen im Zertifikat aufgeführt werden (oder unter einen Platzhalternamen im Zertifikat fallen), die Clients für diese Dienste verwenden.Because only a single certificate can be associated with a website, and because all these services are offered under a single website by default, all the names that clients of these services use must be in the certificate (or fall under a wildcard name in the certificate).

POP/IMAPPOP/IMAP

Für POP oder IMAP verwendete Zertifikate können separat von dem Zertifikat angegeben werden, das für IIS verwendet wird. Um jedoch die Verwaltung zu vereinfachen, wird empfohlen, die POP- oder IMAP-Dienstnamen in Ihr IIS-Zertifikat aufzunehmen und ein einziges Zertifikat für sämtliche dieser Dienste zu verwenden.Certificates that are used for POP or IMAP can be specified separately from the certificate that's used for IIS. However, to simplify administration, we recommend that you include the POP or IMAP service name in your IIS certificate and use a single certificate for all these services.

SMTPSMTP

Für jeden Empfangsconnector, den Sie konfigurieren, kann ein separates Zertifikat verwendet werden. Das Zertifikat muss den Namen des SMTP-Clients (oder anderer SMTP-Server) enthalten, der bzw. die zum Kontaktieren des Connectors verwendet werden. Zur einfacheren Zertifikatverwaltung können Sie alle Namen, für die TLS-Datenverkehr unterstützt werden muss, in einem einzelnen Zertifikat zusammenfassen.A separate certificate can be used for each receive connector that you configure. The certificate must include the name that SMTP clients (or other SMTP servers) use to reach that connector. To simplify certificate management, consider including all names for which you have to support TLS traffic in a single certificate.

Digitale Zertifikate und ProxyfunktionDigital certificates and proxying

Proxyvorgänge ist die Methode, die ein Server mit der Clientverbindungen auf einen anderen Server sendet. Im Fall von Exchange 2013, dies geschieht, wenn der Client Access Server Proxys eingehenden Clients anfordern, auf dem Postfachserver, die die aktive Kopie der das Postfach des Clients enthält.Proxying is the method by which one server sends client connections to another server. In the case of Exchange 2013, this happens when the Client Access server proxies an incoming client request to the Mailbox server that contains the active copy of the client’s mailbox.

Wenn Clientzugriffsserver Anforderungen über einen Proxy weiterleiten, wird SSL für die Verschlüsselung, nicht jedoch für die Authentifizierung verwendet. Das selbstsignierte Zertifikat auf dem Postfachserver verschlüsselt den Datenverkehr zwischen Clientzugriffs- und Postfachserver.When Client Access servers proxy requests, SSL is used for encryption but not for authentication. The self-signed certificate on the Mailbox server encrypts the traffic between the Client Access server and the Mailbox server.

Reverseproxys und ZertifikateReverse proxies and certificates

Viele Exchange-Bereitstellungen mit der Exchange-Dienste im Internet veröffentlicht Reverseproxys. Reverseproxys können zum Beenden der SSL-Verschlüsselung, überprüfen Sie den Datenverkehr in Klartext auf dem Server, und öffnen Sie einen neuen SSL-Verschlüsselung Kanal aus der reverse-Proxyserver auf die Exchange-Server hinter diese konfiguriert werden. Dies bezeichnet als SSL-bridging. Eine andere Möglichkeit zum Konfigurieren der reverse-Proxy-Server besteht darin die SSL-Verbindungen, die direkt auf die Exchange-Server hinter der reverse-Proxyserver passieren lassen. Mit beiden Bereitstellungsmodell verbinden die Clients im Internet mit den Reverseproxyserver mit einem Hostnamen für den Exchange-Zugriff, wie beispielsweise "Mail.contoso.com". Dann eine Verbindung mit Exchange über einen anderen Hostnamen an, wie beispielsweise der Computername des Exchange-Clientzugriffsserver der Reverseproxyserver herstellt. Sie müssen nicht den Computernamen des Exchange-Clientzugriffsserver auf Ihr Zertifikat einschließen, da am häufigsten verwendeten reverse Proxyserver sind mit den ursprünglichen Hostnamen übereinstimmen, der durch den Client auf den internen Hostnamen des Exchange-Clientzugriffsserver verwendet wird .Many Exchange deployments use reverse proxies to publish Exchange services on the Internet. Reverse proxies can be configured to terminate SSL encryption, examine the traffic in the clear on the server, and then open a new SSL encryption channel from the reverse proxy servers to the Exchange servers behind them. This is known as SSL bridging. Another way to configure the reverse proxy servers is to let the SSL connections pass straight through to the Exchange servers behind the reverse proxy servers. With either deployment model, the clients on the Internet connect to the reverse proxy server using a host name for Exchange access, such as mail.contoso.com. Then the reverse proxy server connects to Exchange using a different host name, such as the machine name of the Exchange Client Access server. You don't have to include the machine name of the Exchange Client Access server on your certificate because most common reverse proxy servers are able to match the original host name that's used by the client to the internal host name of the Exchange Client Access server.

SSL und Split-DNSSSL and split DNS

Split-DNS ist eine Technologie, mit dem Sie zum Konfigurieren der verschiedenen IP-Adressen für den gleichen Hostnamen, je nachdem, wo die ursprüngliche DNS-Anforderung stammt. Dies ist auch bekannt als Split-Horizon DNS, geteilten Ansicht DNS oder Split-Brain-DNS. Split-DNS-helfen Ihnen bei der Reduzierung der Hostnamen, die Sie für Exchange verwalten müssen, dass Ihre Clients zum Verbinden mit Exchange über den gleichen Hostnamen, ob sie über das Internet oder aus dem Intranet herstellen. Split-DNS ermöglicht Anforderungen, die aus dem Intranet an eine andere IP-Adresse als Anforderungen, die stammen aus dem Internet empfangen stammen.Split DNS is a technology that allows you to configure different IP addresses for the same host name, depending on where the originating DNS request came from. This is also known as split-horizon DNS, split-view DNS, or split-brain DNS. Split DNS can help you reduce the number of host names that you must manage for Exchange by allowing your clients to connect to Exchange through the same host name whether they're connecting from the Internet or from the intranet. Split DNS allows requests that originate from the intranet to receive a different IP address than requests that originate from the Internet.

Split-DNS ist in der Regel in einer kleinen Exchange-Bereitstellung, da die Benutzer auf den gleichen DNS-Endpunkt zugreifen können, ob sie über das Intranet oder Internet bald sind. Allerdings mit größeren Installationen, diese Konfiguration führt zu einer Last auf Ihren ausgehenden Internet-Proxyserver und reverse-Proxyserver zu hoch. Konfigurieren Sie für größere Bereitstellungen split-DNS, beispielsweise externe Benutzer mail.contoso.com und interne Benutzer Zugriff auf internal.contoso.com. Mit geteilten Datei DNS für diese Konfiguration wird sichergestellt, dass Ihre Benutzer nicht vergessen Sie nicht, verwenden Sie unterschiedliche Hostnamen, je nachdem, wo sie gespeichert sind.Split DNS is usually unnecessary in a small Exchange deployment because users can access the same DNS endpoint whether they're coming from the intranet or the Internet. However, with larger deployments, this configuration will result in too high of a load on your outgoing Internet proxy server and your reverse proxy server. For larger deployments, configure split DNS so that, for example, external users access mail.contoso.com and internal users access internal.contoso.com. Using split DNS for this configuration ensures that your users won't have to remember to use different host names depending on where they're located.

Windows PowerShell-RemotesitzungenRemote Windows PowerShell

Kerberos-Authentifizierung und Kerberos-Verschlüsselung werden für den Windows PowerShell-Remotezugriff aus Exchange Administration Center (EAC) und der Exchange-Verwaltungsshell verwendet. Daher müssen Sie Ihre SSL-Zertifikate für die Verwendung mit Windows remote-PowerShell konfigurieren.Kerberos authentication and Kerberos encryption are used for remote Windows PowerShell access, from both the Exchange Administration Center (EAC) and the Exchange Management Shell. Therefore, you won't have to configure your SSL certificates for use with remote Windows PowerShell.

Zurück zum SeitenanfangReturn to top

Bewährte Methoden für digitale ZertifikateDigital certificates best practices

Wenngleich die Konfiguration der digitalen Zertifikate Ihrer Organisation basierend auf Ihren spezifischen Anforderungen variiert, sollen die nachfolgend aufgeführten bewährten Methoden Sie bei der Auswahl der richtigen Konfiguration für Ihre digitalen Zertifikate unterstützen.Although the configuration of your organization's digital certificates will vary based on its specific needs, information about best practices has been included to help you choose the digital certificate configuration that's right for you.

Bewährte Methode: Verwenden eines vertrauenswürdigen DrittanbieterzertifikatsBest practice: Use a trusted third-party certificate

Um zu verhindern, dass Clients werden Fehlermeldungen zu nicht vertrauenswürdigen Zertifikate, muss das Zertifikat, das vom Exchange-Server verwendet wird von einer Person ausgestellt werden, die der Client vertraut. Obwohl die meisten Clients konfiguriert werden können, um alle Zertifikat oder Zertifikatsausstellers vertrauen, ist es einfacher, ein vertrauenswürdigen Drittanbieter-Zertifikat auf dem Exchange Server verwenden. Dies ist, da die meisten Clients ihre Stammzertifikate vertrauen. Es gibt mehrere Drittanbieter-Zertifikatsaussteller, die speziell für Exchange konfiguriert Zertifikate bieten. Der Exchange-Verwaltungskonsole können Sie das um Zertifikatsanfragen zu generieren, mit denen meisten Zertifikatsaussteller zusammenarbeiten.To prevent clients from receiving errors regarding untrusted certificates, the certificate that's used by your Exchange server must be issued by someone that the client trusts. Although most clients can be configured to trust any certificate or certificate issuer, it's simpler to use a trusted third-party certificate on your Exchange server. This is because most clients already trust their root certificates. There are several third-party certificate issuers that offer certificates configured specifically for Exchange. You can use the EAC to generate certificate requests that work with most certificate issuers.

Auswählen einer ZertifizierungsstelleHow to select a certification authority

Eine Zertifizierungsstelle (CA) ist ein Unternehmen, die ausstellt und die Gültigkeit der Zertifikate sichergestellt. Clientsoftware (z. B. Browser wie beispielsweise Microsoft Internet Explorer) oder Betriebssystemen wie Windows oder Mac OS ist eine integrierte Liste von CAs sie vertrauen. In dieser Liste kann in der Regel zum Hinzufügen und Entfernen von Zertifizierungsstellen konfiguriert werden, aber diese Konfiguration ist häufig schwerfällige. Verwenden Sie die folgenden Kriterien, wenn Sie zum Erwerben von Ihrer Zertifikate von eine Zertifizierungsstelle auswählen:A certification authority (CA) is a company that issues and ensures the validity of certificates. Client software (for example, browsers such as Microsoft Internet Explorer, or operating systems such as Windows or Mac OS) have a built-in list of CAs they trust. This list can usually be configured to add and remove CAs, but that configuration is often cumbersome. Use the following criteria when you select a CA to buy your certificates from:

  • Stellen Sie sicher, dass die Clientsoftware (Betriebssysteme, Browser und Mobiltelefone) die Zertifizierungsstelle vertrauenswürdig ist, die die Exchange-Server eine Verbindung herstellt.Ensure the CA is trusted by the client software (operating systems, browsers, and mobile phones) that will connect to your Exchange servers.

  • Wählen Sie eine Zertifizierungsstelle, "Unified Communications-Zertifikate" für die Verwendung mit Exchange Server unterstützt.Choose a CA that says it supports “Unified Communications certificates” for use with Exchange server.

  • Stellen Sie sicher, dass die Zertifizierungsstelle die Arten von Zertifikaten unterstützt, die Sie verwenden möchten. Ziehen Sie die Verwendung von SAN-Zertifikaten (Subject Alternative Name, alternativer Antragstellername) in Betracht. Nicht alle Zertifizierungsstellen unterstützen SAN-Zertifikate, und einige Zertifizierungsstellen unterstützen möglicherweise nicht die benötigte Anzahl von Hostnamen.Make sure that the CA supports the kinds of certificates that you’ll use. Consider using subject alternative name (SAN) certificates. Not all CAs support SAN certificates, and other CAs don't support as many host names as you might need.

  • Stellen Sie sicher, dass die für die Zertifikate erworbene Lizenz es Ihnen ermöglicht, das Zertifikat für die Anzahl von Servern zu verwenden, die Sie einsetzen möchten. Bei einigen Zertifizierungsstellen darf ein Zertifikat nur auf einem Server verwendet werden.Make sure that the license you buy for the certificates allows you to put the certificate on the number of servers that you intend to use. Some CAs only allow you to put a certificate on one server.

  • Vergleichen Sie die Zertifikatpreise verschiedener Zertifizierungsstellen.Compare certificate prices between CAs.

Bewährte Methode: Verwenden von SAN-ZertifikatenBest practice: Use SAN certificates

Je nachdem, wie Sie die Namen der Dienste in der Exchange-Bereitstellung konfigurieren kann der Exchange-Server ein Zertifikat erfordern, die mehrere Domänennamen darstellen können. Obwohl ein Platzhalterzertifikat, beispielsweise eine für *. contoso.com, kann dieses Problem beheben, viele Kunden sind nicht in der Lage die Sicherheitsaspekte bei der Wartung ein Zertifikat, das für alle Unterdomäne verwendet werden kann. Eine sicherere Alternative wird jeder der erforderlichen Domänen aufgeführt, wie SANs in das Zertifikat. Standardmäßig wird diese Vorgehensweise bei zertifikatanforderungen von Exchange generiert werden.Depending on how you configure the service names in your Exchange deployment, your Exchange server may require a certificate that can represent multiple domain names. Although a wildcard certificate, such as one for *.contoso.com, can resolve this problem, many customers are uncomfortable with the security implications of maintaining a certificate that can be used for any subdomain. A more secure alternative is to list each of the required domains as SANs in the certificate. By default, this approach is used when certificate requests are generated by Exchange.

Bewährte Methode: Verwenden des Assistenten für Exchange-Zertifikate zum Anfordern von ZertifikatenBest practice: Use the Exchange certificate wizard to request certificates

Es gibt viele Dienste in Exchange, die Zertifikate verwenden. Ein häufiger Fehler beim Anfordern von Zertifikaten ist ohne den richtigen Satz von Dienstnamen stellen die Anforderung. Der Zertifikat-Assistenten in der Exchange-Verwaltungskonsole helfen Sie die korrekte Liste der Namen in die zertifikatanforderung einschließen. Der Assistent ermöglicht die Angabe der Dienste Zertifikats entwickelt wurde und, basierend auf den Diensten ausgewählt, enthält die Namen, die Sie in das Zertifikat verfügen müssen, damit sie mit diesen Diensten verwendet werden kann. Führen Sie den Zertifikat-Assistenten, wenn Sie Ihre ersten Satz von Exchange 2013 Servern bereitgestellt und bestimmt, welche Hostnamen für die verschiedenen Dienste für die Bereitstellung zu verwendenden haben. Im Idealfall müssen Sie nur den Zertifikat-Assistenten einmal für jede Active Directory-Standort ausführen, in dem Sie Exchange bereitstellen.There are many services in Exchange that use certificates. A common error when requesting certificates is to make the request without including the correct set of service names. The certificate wizard in the Exchange Administration Center will help you include the correct list of names in the certificate request. The wizard lets you specify which services the certificate has to work with and, based on the services selected, includes the names that you must have in the certificate so that it can be used with those services. Run the certificate wizard when you've deployed your initial set of Exchange 2013 servers and determined which host names to use for the different services for your deployment. Ideally you'll only have to run the certificate wizard one time for each Active Directory site where you deploy Exchange.

Statt sich darüber Sorgen zu machen, dass ein Hostname in der SAN-Liste des erworbenen Zertifikats fehlt, können Sie eine Zertifizierungsstelle wählen, die innerhalb einer Kulanzzeit ohne Aufpreis ein Zertifikat zurücknimmt und dasselbe Zertifikat mit einigen zusätzlichen Hostnamen erneut ausstellt.Instead of worrying about forgetting a host name in the SAN list of the certificate that you purchase, you can use a certification authority that offers, at no charge, a grace period during which you can return a certificate and request the same new certificate with a few additional host names.

Bewährte Methode: So wenige Hostnamen wie möglichBest practice: Use as few host names as possible

Zusätzlich dazu, so wenige Zertifikate wie möglich zu verwenden, sollten Sie auch die Anzahl der Hostnamen so gering wie möglich halten. So können Sie Geld sparen. Viele Zertifikatanbieter berechnen eine Gebühr basierend auf der Anzahl von Hostnamen in einem Zertifikat.In addition to using as few certificates as possible, you should also use as few host names as possible. This practice can save money. Many certificate providers charge a fee based on the number of host names you add to your certificate.

Um die Anzahl der erforderlichen Hostnamen und damit auch die Komplexität bei der Zertifikatverwaltung zu verringern, sollten Sie keine Hostnamen einzelner Server in die SANs Ihres Zertifikats einschließen.The most important step you can take to reduce the number of host names that you must have and, therefore, the complexity of your certificate management, is not to include individual server host names in your certificate's subject alternative names.

Die Hostnamen, den, die Sie in Ihrer Exchange-Zertifikate umfassen müssen, sind die Hostnamen von Clientanwendungen zum Verbinden mit Exchange verwendet. Es folgt eine Liste der normalen Hostnamen, die für ein Unternehmen namens Contoso erforderlich wäre:The host names you must include in your Exchange certificates are the host names used by client applications to connect to Exchange. The following is a list of typical host names that would be required for a company named Contoso:

  • Mail.contoso.com dieser Hostname deckt die meisten Verbindungen mit Exchange, einschließlich Microsoft Outlook, Outlook Web App, Outlook Anywhere, Offlineadressbuch, Exchange-Webdienste, POP3, IMAP4, SMTP, Exchange-Systemsteuerung, und ActiveSync.Mail.contoso.com This host name covers most connections to Exchange, including Microsoft Outlook, Outlook Web App, Outlook Anywhere, the Offline Address Book, Exchange Web Services, POP3, IMAP4, SMTP, Exchange Control Panel, and ActiveSync.

  • "Autodiscover.contoso.com" dieser Hostname wird von Clients verwendet, die AutoErmittlung unterstützen, einschließlich Microsoft Office Outlook 2007 und höhere Versionen, Exchange ActiveSync und Exchange-Webdienstclients zu unterstützen.Autodiscover.contoso.com This host name is used by clients that support Autodiscover, including Microsoft Office Outlook 2007 and later versions, Exchange ActiveSync, and Exchange Web Services clients.

  • Legacy.contoso.com dieser Hostname ist in einem Szenario mit Koexistenz mit Exchange 2007 und Exchange 2013 erforderlich. Wenn Sie Clients mit Postfächern auf Exchange 2007 und Exchange 2013 müssen, verhindert Konfigurieren eines legacyhostnamens einen zweiten URL während des Upgradeprozesses Hier erfahren, dass Ihre Benutzer.Legacy.contoso.com This host name is required in a coexistence scenario with Exchange 2007 and Exchange 2013. If you'll have clients with mailboxes on Exchange 2007 and Exchange 2013, configuring a legacy host name prevents your users from having to learn a second URL during the upgrade process.

Grundlegendes zu PlatzhalterzertifikatenUnderstanding wildcard certificates

Ein Platzhalterzertifikat dient zur Unterstützung einer Domäne und mehreren untergeordneten Domänen. Konfigurieren von beispielsweise ein Platzhalterzertifikat für *. contoso.com erzeugt ein Zertifikat, das für mail.contoso.com, web.contoso.com und "autodiscover.contoso.com" funktioniert.A wildcard certificate is designed to support a domain and multiple subdomains. For example, configuring a wildcard certificate for *.contoso.com results in a certificate that will work for mail.contoso.com, web.contoso.com, and autodiscover.contoso.com.

Zurück zum SeitenanfangReturn to top