Digitale Zertifikate und SSLDigital certificates and SSL

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Secure Sockets Layer (SSL) ist eine Methode zum Sichern der Kommunikation zwischen einem Client und einem Server.Secure Sockets Layer (SSL) is a method for securing communications between a client and a server. Für Exchange Server 2013 wird SSL verwendet, um die Kommunikation zwischen dem Server und den Clients zu schützen.For Exchange Server 2013, SSL is used to help secure communications between the server and clients. Clients sind z. B. Mobiltelefone sowie Computer innerhalb und außerhalb des Netzwerks einer Organisation.Clients include mobile phones, computers inside an organization's network, and computers outside an organization's network.

Bei der Installation von Exchange 2013 wird die Clientkommunikation standardmäßig mithilfe von SSL verschlüsselt, wenn Sie Outlook Web App, Exchange ActiveSync und Outlook Anywhere verwenden.By default, when you install Exchange 2013, client communications are encrypted using SSL when you use Outlook Web App, Exchange ActiveSync, and Outlook Anywhere.

SSL erfordert die Verwendung digitaler Zertifikate.SSL requires you to use digital certificates. In diesem Thema werden die verschiedenen Arten digitaler Zertifikate und Informationen zum Konfigurieren von Exchange 2013 für die Verwendung dieser Typen digitaler Zertifikate zusammengefasst.This topic summarizes the different types of digital certificates and information about how to configure Exchange 2013 to use these types of digital certificates.

Übersicht über digitale ZertifikateOverview of digital certificates

Digitale Zertifikate sind elektronische Dateien, die wie Onlinekennwörter funktionieren, um die Identität eines Benutzers oder eines Computers zu überprüfen.Digital certificates are electronic files that work like an online password to verify the identity of a user or a computer. Sie werden zum Erstellen des SSL-verschlüsselten Kanals verwendet, der für die Clientkommunikation verwendet wird.They're used to create the SSL encrypted channel that's used for client communications. Ein Zertifikat ist eine digitale Anweisung, die von einer Zertifizierungsstelle ausgestellt wird, die für die Identität des Zertifikatinhabers bürgt und es ermöglicht, dass die Parteien auf sichere Weise mithilfe von Verschlüsselung kommunizieren.A certificate is a digital statement that's issued by a certification authority (CA) that vouches for the identity of the certificate holder and enables the parties to communicate in a secure manner using encryption.

Digitale Zertifikate führen folgende Schritte aus:Digital certificates do the following:

  • Sie authentifizieren, dass Ihre Halterungen (Personen, Websites und sogar Netzwerkressourcen wie Router) wirklich das sind, was Sie behaupten.They authenticate that their holders (people, websites, and even network resources such as routers) are truly who or what they claim to be.

  • Sie schützen Online ausgetauschte Daten vor Diebstahl oder Manipulation.They protect data that's exchanged online from theft or tampering.

Digitale Zertifikate können von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle oder einer Windows Public Key-Infrastruktur (PKI) mithilfe von Zertifikatdiensten ausgestellt werden, oder Sie können selbst signiert sein.Digital certificates can be issued by a trusted third-party CA or a Windows public key infrastructure (PKI) using Certificate Services, or they can be self-signed. Jeder Zertifikattyp hat vor-und Nachteile.Each type of certificate has advantages and disadvantages. Jeder Typ von digitalem Zertifikat ist fälschungssicher und kann nicht gefälscht werden.Each type of digital certificate is tamper-proof and can't be forged.

Zertifikate können für verschiedene Zwecke ausgestellt werden.Certificates can be issued for several uses. Dazu gehören Web-Benutzerauthentifizierung, Webserverauthentifizierung, Secure/Multipurpose Internet Mail Extensions (S/MIME), IPSec (Internet Protocol Security), TLS (Transport Layer Security) und Codesignierung.These uses include web user authentication, web server authentication, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), Transport Layer Security (TLS), and code signing.

Ein Zertifikat enthält einen öffentlichen Schlüssel und bindet diesen an die Identität einer Person, eines Computers oder eines Diensts mit dem entsprechenden privaten Schlüssel.A certificate contains a public key and attaches that public key to the identity of a person, computer, or service that holds the corresponding private key. Die öffentlichen und privaten Schlüssel werden vom Client und vom Server zum Verschlüsseln der Daten vor der Übertragung verwendet.The public and private keys are used by the client and the server to encrypt the data before it's transmitted. Für Windows-basierte Benutzer, Computer und Dienste wird eine Vertrauensstellung in einer Zertifizierungsstelle hergestellt, wenn eine Kopie des Stammzertifikats im vertrauenswürdigen Stammzertifikatspeicher vorhanden ist und das Zertifikat einen gültigen Zertifizierungspfad enthält.For Windows-based users, computers, and services, trust in a CA is established when there's a copy of the root certificate in the trusted root certificate store and the certificate contains a valid certification path. Damit das Zertifikat gültig ist, darf das Zertifikat nicht widerrufen werden, und der Gültigkeitszeitraum darf nicht abgelaufen sein.For the certificate to be valid, the certificate must not have been revoked and the validity period must not have expired.

ZertifikattypenTypes of certificates

Es gibt drei primäre Arten von digitalen Zertifikaten: selbstsignierte Zertifikate, von Windows PKI generierte Zertifikate und Drittanbieterzertifikate.There are three primary types of digital certificates: self-signed certificates, Windows PKI-generated certificates, and third-party certificates.

Selbstsignierte ZertifikateSelf-signed certificates

Wenn Sie Exchange 2013 installieren, wird automatisch ein selbstsigniertes Zertifikat auf den Postfachservern konfiguriert.When you install Exchange 2013, a self-signed certificate is automatically configured on the Mailbox servers. Ein selbstsigniertes Zertifikat wird von der Anwendung signiert, die es erstellt hat.A self-signed certificate is signed by the application that created it. Der Betreff und der Name des Zertifikats stimmen überein.The subject and the name of the certificate match. Der Aussteller und der Betreff sind im Zertifikat definiert.The issuer and the subject are defined on the certificate. Dieses selbstsignierte Zertifikat wird verwendet, um die Kommunikation zwischen dem Client Zugriffsserver und dem Postfachserver zu verschlüsseln.This self-signed certificate is used to encrypt communications between the Client Access server and the Mailbox server. Der Client Zugriffsserver vertraut automatisch dem selbstsignierten Zertifikat auf dem Postfachserver, sodass kein Drittanbieterzertifikat auf dem Postfachserver benötigt wird.The Client Access server trusts the self-signed certificate on the Mailbox server automatically, so no third-party certificate is needed on the Mailbox server. Wenn Sie Exchange 2013 installieren, wird auch ein selbstsigniertes Zertifikat auf dem Client Zugriffsserver erstellt.When you install Exchange 2013, a self-signed certificate is also created on the Client Access server. Dieses selbstsignierte Zertifikat ermöglicht einigen Clientprotokollen die Verwendung von SSL für Ihre Kommunikation.This self-signed certificate will allow some client protocols to use SSL for their communications. Exchange ActiveSync und Outlook Web App können eine SSL-Verbindung unter Verwendung eines selbstsignierten Zertifikats herstellen.Exchange ActiveSync and Outlook Web App can establish an SSL connection by using a self-signed certificate. Outlook Anywhere funktioniert nicht mit einem selbstsignierten Zertifikat auf dem Client Zugriffsserver.Outlook Anywhere won't work with a self-signed certificate on the Client Access server. Selbstsignierte Zertifikate müssen manuell in den vertrauenswürdigen Stammzertifikatspeicher auf dem Clientcomputer oder auf dem mobilen Gerät kopiert werden.Self-signed certificates must be manually copied to the trusted root certificate store on the client computer or mobile device. Wenn ein Client eine Verbindung mit einem Server über SSL herstellt und der Server ein selbstsigniertes Zertifikat darstellt, wird der Client aufgefordert, zu überprüfen, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.When a client connects to a server over SSL and the server presents a self-signed certificate, the client will be prompted to verify that the certificate was issued by a trusted authority. Der Client muss der ausstellenden Autorität explizit vertrauen.The client must explicitly trust the issuing authority. Wenn der Client die Vertrauensstellung bestätigt, kann SSL-Kommunikation fortgesetzt werden.If the client confirms the trust, then SSL communications can continue.

Hinweis

Standardmäßig ist das auf dem Postfachserver oder auf den Servern installierte digitale Zertifikat ein selbstsigniertes Zertifikat.By default, the digital certificate installed on the Mailbox server or servers is a self-signed certificate. Sie müssen das selbstsignierte Zertifikat auf den Postfachservern in Ihrer Organisation nicht durch ein vertrauenswürdiges Drittanbieterzertifikat ersetzen.You don't need to replace the self-signed certificate on the Mailbox servers in your organization with a trusted third-party certificate. Der Client Zugriffsserver vertraut automatisch dem selbstsignierten Zertifikat auf dem Postfachserver, und es ist keine andere Konfiguration für Zertifikate auf dem Postfachserver erforderlich.The Client Access server automatically trusts the self-signed certificate on the Mailbox server and no other configuration is needed for certificates on the Mailbox server.

Häufig beschließen kleine Organisationen, kein Drittanbieterzertifikat zu verwenden oder keine eigene PKI zur Ausstellung eigener Zertifikate zu installieren.Frequently, small organizations decide not to use a third-party certificate or not to install their own PKI to issue their own certificates. Sie können diese Entscheidung treffen, da diese Lösungen zu kostspielig sind, da ihre Administratoren nicht über die Erfahrung und das Wissen verfügen, um Ihre eigene Zertifikathierarchie zu erstellen, oder aus beiden Gründen.They might make this decision because those solutions are too expensive, because their administrators lack the experience and knowledge to create their own certificate hierarchy, or for both reasons. Die Kosten sind minimal, und das Setup ist einfach, wenn Sie selbstsignierte Zertifikate verwenden.The cost is minimal and the setup is simple when you use self-signed certificates. Es ist jedoch weitaus schwieriger, eine Infrastruktur für die Lebenszyklusverwaltung von Zertifikaten, die Erneuerung, die Vertrauensverwaltung und die Sperrung zu etablieren, wenn Sie selbstsignierte Zertifikate verwenden.However, it's much more difficult to establish an infrastructure for certificate life-cycle management, renewal, trust management, and revocation when you use self-signed certificates.

Windows Public Key-Infrastruktur ZertifikateWindows public key infrastructure certificates

Der zweite Zertifikattyp ist ein von Windows PKI generiertes Zertifikat.The second type of certificate is a Windows PKI-generated certificate. Bei einer PKI handelt es sich um ein System digitaler Zertifikate, Zertifizierungsstellen und Registrierungsstellen, mit denen die Gültigkeit jeder Partei überprüft und authentifiziert wird, die an einer elektronischen Transaktion mithilfe der Kryptografie mit öffentlichen Schlüsseln beteiligt ist.A PKI is a system of digital certificates, certification authorities, and registration authorities (RAs) that verify and authenticate the validity of each party that's involved in an electronic transaction by using public key cryptography. Wenn Sie eine PKI in einer Organisation implementieren, die Active Directory verwendet, stellen Sie eine Infrastruktur für die Lebenszyklusverwaltung von Zertifikaten, die Erneuerung, die Vertrauensverwaltung und die Sperrung bereit.When you implement a PKI in an organization that uses Active Directory, you provide an infrastructure for certificate life-cycle management, renewal, trust management, and revocation. Bei der Bereitstellung von Servern und Infrastruktur zum Erstellen und Verwalten von von Windows PKI generierten Zertifikaten sind jedoch einige zusätzliche Kosten verbunden.However, there is some additional cost involved in deploying servers and infrastructure to create and manage Windows PKI-generated certificates.

Zertifikatdienste sind erforderlich, um eine Windows-PKI bereitzustellen, und Sie können über Software in der Systemsteuerung installiert werden.Certificate Services are required to deploy a Windows PKI and can be installed through Add Or Remove Programs in Control Panel. Sie können die Zertifikatdienste auf jedem Server in der Domäne installieren.You can install Certificate Services on any server in the domain.

Wenn Sie Zertifikate von einer Windows-Zertifizierungsstelle einer Domäne beziehen, können Sie die Zertifizierungsstelle zum Anfordern oder Signieren von Zertifikaten für Ihre eigenen Server oder Computer in Ihrem Netzwerk verwenden.If you obtain certificates from a domain-joined Windows CA, you can use the CA to request or sign certificates to issue to your own servers or computers on your network. Auf diese Weise können Sie eine PKI verwenden, die einem Zertifikatdrittanbieter ähnelt, jedoch weniger kostspielig ist.This enables you to use a PKI that resembles a third-party certificate vendor, but is less expensive. Diese PKI-Zertifikate können nicht öffentlich bereitgestellt werden, da andere Zertifikattypen möglich sind.These PKI certificates can't be deployed publicly, as other types of certificates can be. Wenn eine PKI-Zertifizierungsstelle jedoch das Zertifikat des Requestors mithilfe des privaten Schlüssels signiert, wird der Anforderer überprüft.However, when a PKI CA signs the requestor's certificate by using the private key, the requestor is verified. Der öffentliche Schlüssel dieser Zertifizierungsstelle ist Bestandteil des Zertifikats.The public key of this CA is part of the certificate. Ein Server, in dessen Informationsspeicher für vertrauenswürdige Stammzertifikate sich dieses Zertifikat befindet, kann den öffentlichen Schlüssel zum Entschlüsseln des Anfordererzertifikats verwenden und den Anforderer authentifizieren.A server that has this certificate in the trusted root certificate store can use that public key to decrypt the requestor's certificate and authenticate the requestor.

Die Schritte zur Bereitstellungeines von PKI generierten Zertifikats ähneln denen, die für die Bereitstellungeines selbstsignierten Zertifikats erforderlich sind.The steps for deploying a PKI-generated certificate resemble those required for deploying a self-signed certificate. Sie müssen weiterhin eine Kopie des vertrauenswürdigen Stammzertifikats von der PKI in den vertrauenswürdigen Stammzertifikatspeicher der Computer oder mobilen Geräte installieren, für die Sie eine SSL-Verbindung mit Microsoft Exchange herstellen möchten.You must still install a copy of the trusted root certificate from the PKI to the trusted root certificate store of the computers or mobile devices that you want to be able to establish an SSL connection to Microsoft Exchange.

Mit einer Windows-PKI können Organisationen ihre eigenen Zertifikate veröffentlichen.A Windows PKI enables organizations to publish their own certificates. Clients können Zertifikate von einer Windows-PKI im internen Netzwerk anfordern und empfangen.Clients can request and receive certificates from a Windows PKI on the internal network. Die Windows-PKI kann Zertifikate erneuern oder widerrufen.The Windows PKI can renew or revoke certificates.

Vertrauenswürdige DrittanbieterzertifikateTrusted third-party certificates

Bei Drittanbieter-oder kommerziellen Zertifikaten handelt es sich um Zertifikate, die von einer Drittanbieter-oder kommerziellen Zertifizierungsstelle generiert und dann für die Verwendung auf Ihren Netzwerkservern erworben wurden.Third-party or commercial certificates are certificates that are generated by a third-party or commercial CA and then purchased for you to use on your network servers. Ein Problem mit selbstsignierten und PKI-basierten Zertifikaten besteht darin, dass Sie, da das Zertifikat nicht automatisch vom Clientcomputer oder mobilen Gerät als vertrauenswürdig eingestuft wird, sicherstellen müssen, dass Sie das Zertifikat in den vertrauenswürdigen Stammzertifikatspeicher auf dem Client importieren. Computer und Geräte.One problem with self-signed and PKI-based certificates is that, because the certificate is not automatically trusted by the client computer or mobile device, you must make sure that you import the certificate into the trusted root certificate store on client computers and devices. Drittanbieter-oder kommerzielle Zertifikate haben dieses Problem nicht.Third-party or commercial certificates do not have this problem. Die meisten kommerziellen CA-Zertifikate werden bereits als vertrauenswürdig eingestuft, da sich das Zertifikat bereits im Informationsspeicher für vertrauenswürdige Stammzertifikate befindet.Most commercial CA certificates are already trusted because the certificate already resides in the trusted root certificate store. Da der Aussteller als vertrauenswürdig eingestuft wird, wird auch das Zertifikat als vertrauenswürdig eingestuft.Because the issuer is trusted, the certificate is also trusted. Durch die Verwendung von Drittanbieterzertifikaten wird die Bereitstellung erheblich vereinfacht.Using third-party certificates greatly simplifies deployment.

Für größere Organisationen oder Organisationen, die Zertifikate öffentlich bereitstellen müssen, besteht die beste Lösung darin, ein Drittanbieter-oder ein kommerzielles Zertifikat zu verwenden, obwohl das Zertifikat mit Kosten verbunden ist.For larger organizations or organizations that must publicly deploy certificates, the best solution is to use a third-party or commercial certificate, even though there is a cost associated with the certificate. Kommerzielle Zertifikate sind möglicherweise nicht die beste Lösung für kleine und mittelständische Organisationen, und Sie können sich dafür entscheiden, eine der anderen verfügbaren Zertifikatoptionen zu verwenden.Commercial certificates may not be the best solution for small and medium-size organizations, and you might decide to use one of the other certificate options that are available.

Auswählen eines ZertifikattypsChoosing a certificate type

Wenn Sie den Typ des zu installierenden Zertifikats auswählen, müssen Sie einige Punkte berücksichtigen.When you choose the type of certificate to install, there are several things to consider. Ein Zertifikat muss signiert sein, um gültig zu sein.A certificate must be signed to be valid. Es kann selbst signiert oder von einer Zertifizierungsstelle signiert werden.It can be self-signed or signed by a CA. Ein selbstsigniertes Zertifikat hat Einschränkungen.A self-signed certificate has limitations. Beispielsweise lassen nicht alle mobilen Geräte zu, dass ein Benutzer ein digitales Zertifikat im vertrauenswürdigen Stammzertifikatspeicher installieren kann.For example, not all mobile devices let a user install a digital certificate in the trusted root certificate store. Die Möglichkeit, Zertifikate auf einem mobilen Gerät zu installieren, hängt vom Hersteller des mobilen Geräts und vom mobilen Dienstanbieter ab.The ability to install certificates on a mobile device depends on the mobile device manufacturer and the mobile service provider. Einige Hersteller und Mobilfunkanbieter deaktivieren den Zugriff auf den vertrauenswürdigen Stammzertifikatspeicher.Some manufacturers and mobile service providers disable access to the trusted root certificate store. In diesem Fall kann weder ein selbstsigniertes Zertifikat noch ein Zertifikat von einer Windows-PKI-Zertifizierungsstelle auf dem mobilen Gerät installiert werden.In this case, neither a self-signed certificate nor a certificate from a Windows PKI CA can be installed on the mobile device.

Exchange-StandardzertifikateDefault Exchange certificates

Exchange installiert standardmäßig ein selbstsigniertes Zertifikat sowohl auf dem Client Zugriffsserver als auch auf dem Postfachserver, sodass die gesamte Netzwerkkommunikation verschlüsselt ist.By default, Exchange installs a self-signed certificate on both the Client Access server and the Mailbox server so that all network communication is encrypted. Zum Verschlüsseln der gesamten Netzwerkkommunikation muss jeder Exchange-Server über ein X. 509-Zertifikat verfügen, das er verwenden kann.Encrypting all network communication requires that every Exchange server have an X.509 certificate that it can use. Sie sollten dieses selbstsignierte Zertifikat auf dem Client Zugriffsserver durch eines ersetzen, das von ihren Clients automatisch als vertrauenswürdig eingestuft wird.You should replace this self-signed certificate on the Client Access server with one that is automatically trusted by your clients.

"Selbst signiert" bedeutet, dass ein Zertifikat nur vom Exchange-Server selbst erstellt und signiert wurde."Self-signed" means that a certificate was created and signed only by the Exchange server itself. Da Sie nicht von einer allgemein vertrauenswürdigen Zertifizierungsstelle erstellt und signiert wurde, wird das standardmäßige selbstsignierte Zertifikat von keiner Software außer anderen Exchange-Servern in derselben Organisation als vertrauenswürdig eingestuft.Because it wasn't created and signed by a generally trusted CA, the default self-signed certificate won't be trusted by any software except other Exchange servers in the same organization. Das Standardzertifikat ist für alle Exchange-Dienste aktiviert.The default certificate is enabled for all Exchange services. Er hat einen alternativen Antragstellernamen (Subject Alternative Name, San), der dem Servernamen des Exchange-Servers entspricht, auf dem er installiert ist.It has a subject alternative name (SAN) that corresponds to the server name of the Exchange server that it's installed on. Außerdem enthält Sie eine Liste von Sans, die sowohl den Servernamen als auch den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers umfassen.It also has a list of SANs that include both the server name and the fully qualified domain name (FQDN) of the server.

Auch wenn andere Exchange-Server in Ihrer Exchange-Organisation dieses Zertifikat automatisch als vertrauenswürdig einstufen, Vertrauen Clients wie Webbrowser, Outlook-Clients, Mobiltelefone und andere e-Mail-Clients zusätzlich zu externen e-Mail-Servern nicht automatisch.Although other Exchange servers in your Exchange organization trust this certificate automatically, clients like web browsers, Outlook clients, mobile phones, and other email clients in addition to external email servers won't automatically trust it. Daher sollten Sie dieses Zertifikat auf Ihren Exchange-Client Zugriffsservern durch ein vertrauenswürdiges Drittanbieterzertifikat ersetzen.Therefore, consider replacing this certificate with a trusted third-party certificate on your Exchange Client Access servers. Wenn Sie über eine eigene interne PKI verfügen und alle Ihre Clients dieser Entität Vertrauen, können Sie auch Zertifikate verwenden, die Sie selbst ausgeben.If you have your own internal PKI, and all your clients trust that entity, you can also use certificates that you issue yourself.

Zertifikatanforderungen nach DienstCertificate requirements by service

Zertifikate werden für mehrere Dinge in Exchange verwendet.Certificates are used for several things in Exchange. Die meisten Kunden verwenden auch Zertifikate auf mehr als einem Exchange-Server.Most customers also use certificates on more than one Exchange server. Im Allgemeinen werden je weniger Zertifikate, desto einfacher wird die Zertifikatverwaltung.In general, the fewer certificates you have, the easier certificate management becomes.

IISIIS

Alle folgenden Exchange-Dienste verwenden das gleiche Zertifikat auf einem bestimmten Exchange-Client Zugriffsserver:All the following Exchange services use the same certificate on a given Exchange Client Access server:

  • Outlook Web AppOutlook Web App

  • Exchange-VerwaltungskonsoleExchange admin center (EAC)

  • Exchange-WebdiensteExchange Web Services

  • Exchange ActiveSyncExchange ActiveSync

  • Outlook AnywhereOutlook Anywhere

  • AutoErmittlungAutodiscover

  • Outlook-Adressbuch VerteilungOutlook Address Book distribution

Da nur ein einzelnes Zertifikat einer Website zugeordnet werden kann und alle diese Dienste standardmäßig unter einer einzigen Website angeboten werden, müssen alle Namen, die Clients dieser Dienste verwenden, im Zertifikat stehen (oder unter einem Platzhalternamen im Zertifikat liegen). ).Because only a single certificate can be associated with a website, and because all these services are offered under a single website by default, all the names that clients of these services use must be in the certificate (or fall under a wildcard name in the certificate).

POP/IMAPPOP/IMAP

Zertifikate, die für Pop oder IMAP verwendet werden, können getrennt vom Zertifikat angegeben werden, das für IIS verwendet wird.Certificates that are used for POP or IMAP can be specified separately from the certificate that's used for IIS. Zur Vereinfachung der Verwaltung wird jedoch empfohlen, den Namen des Pop-oder IMAP-Diensts in Ihr IIS-Zertifikat einzuschließen und ein einzelnes Zertifikat für alle diese Dienste zu verwenden.However, to simplify administration, we recommend that you include the POP or IMAP service name in your IIS certificate and use a single certificate for all these services.

SMTPSMTP

Für jeden Empfangsconnector, den Sie konfigurieren, kann ein separates Zertifikat verwendet werden.A separate certificate can be used for each receive connector that you configure. Das Zertifikat muss den Namen enthalten, den SMTP-Clients (oder andere SMTP-Server) zum Erreichen dieses Connectors verwenden.The certificate must include the name that SMTP clients (or other SMTP servers) use to reach that connector. Um die Zertifikatverwaltung zu vereinfachen, sollten Sie alle Namen einschließen, für die Sie TLS-Datenverkehr in einem einzigen Zertifikat unterstützen müssen.To simplify certificate management, consider including all names for which you have to support TLS traffic in a single certificate.

Digitale Zertifikate und ProxyvorgängeDigital certificates and proxying

Proxyfunktion ist die Methode, mit der ein Server Clientverbindungen an einen anderen Server sendet.Proxying is the method by which one server sends client connections to another server. Im Fall von Exchange 2013 geschieht dies, wenn der Clientzugriffsserver eine eingehende Clientanforderung an den Postfachserver weiterleitet, der die aktive Kopie des Postfachs des Clients enthält.In the case of Exchange 2013, this happens when the Client Access server proxies an incoming client request to the Mailbox server that contains the active copy of the client's mailbox.

Bei Proxyanforderungen für Client Zugriffsserver wird SSL für die Verschlüsselung, jedoch nicht für die Authentifizierung verwendet.When Client Access servers proxy requests, SSL is used for encryption but not for authentication. Das selbstsignierte Zertifikat auf dem Postfachserver verschlüsselt den Datenverkehr zwischen dem Client Zugriffsserver und dem Postfachserver.The self-signed certificate on the Mailbox server encrypts the traffic between the Client Access server and the Mailbox server.

Reverse-Proxies und ZertifikateReverse proxies and certificates

Viele Exchange-Bereitstellungen verwenden Reverse-Proxies, um Exchange-Dienste im Internet zu veröffentlichen.Many Exchange deployments use reverse proxies to publish Exchange services on the Internet. Reverse-Proxies können konfiguriert werden, um die SSL-Verschlüsselung zu beenden, den Datenverkehr auf dem Server zu überprüfen und dann einen neuen SSL-Verschlüsselungskanal von den Reverse-Proxyservern zu den dahinter liegenden Exchange-Servern zu öffnen.Reverse proxies can be configured to terminate SSL encryption, examine the traffic in the clear on the server, and then open a new SSL encryption channel from the reverse proxy servers to the Exchange servers behind them. Dies wird als SSL-Bridging bezeichnet.This is known as SSL bridging. Eine weitere Möglichkeit zum Konfigurieren der Reverseproxy-Server besteht darin, dass die SSL-Verbindungen direkt an die Exchange-Server hinter den Reverse-Proxyservern weitergeleitet werden können.Another way to configure the reverse proxy servers is to let the SSL connections pass straight through to the Exchange servers behind the reverse proxy servers. Bei beiden Bereitstellungsmodellen stellen die Clients im Internet eine Verbindung mit dem Reverseproxy mithilfe eines Hostnamens für Exchange Access her, beispielsweise Mail.contoso.com.With either deployment model, the clients on the Internet connect to the reverse proxy server using a host name for Exchange access, such as mail.contoso.com. Der Reverseproxy stellt dann eine Verbindung mit Exchange unter Verwendung eines anderen Hostnamens her, beispielsweise des Computernamens des Exchange-Client Zugriffsservers.Then the reverse proxy server connects to Exchange using a different host name, such as the machine name of the Exchange Client Access server. Sie müssen den Computernamen des Exchange-Clientzugriffsservers nicht auf Ihrem Zertifikat angeben, da die meisten gängigen Reverseproxy-Server den vom Client verwendeten ursprünglichen Hostnamen dem internen Hostnamen des Exchange-Clientzugriffsservers zuordnen können. .You don't have to include the machine name of the Exchange Client Access server on your certificate because most common reverse proxy servers are able to match the original host name that's used by the client to the internal host name of the Exchange Client Access server.

SSL und geteiltes DNSSSL and split DNS

Split-DNS ist eine Technologie, mit der Sie unterschiedliche IP-Adressen für denselben Hostnamen konfigurieren können, je nachdem, woher die ursprüngliche DNS-Anforderung stammt.Split DNS is a technology that allows you to configure different IP addresses for the same host name, depending on where the originating DNS request came from. Dies wird auch als Split-Horizon-DNS, Split-View-DNS oder Split-Brain-DNS bezeichnet.This is also known as split-horizon DNS, split-view DNS, or split-brain DNS. Split-DNS kann Ihnen helfen, die Anzahl der Hostnamen zu reduzieren, die Sie für Exchange verwalten müssen, indem Sie Ihren Clients erlauben, über denselben Hostnamen eine Verbindung mit Exchange herzustellen, unabhängig davon, ob Sie eine Verbindung über das Internet oder über das Intranet herstellen.Split DNS can help you reduce the number of host names that you must manage for Exchange by allowing your clients to connect to Exchange through the same host name whether they're connecting from the Internet or from the intranet. Split-DNS ermöglicht es Anforderungen, die aus dem Intranet stammen, eine andere IP-Adresse als aus dem Internet stammende Anforderungen zu erhalten.Split DNS allows requests that originate from the intranet to receive a different IP address than requests that originate from the Internet.

Split-DNS ist in einer kleinen Exchange-Bereitstellung normalerweise nicht erforderlich, da Benutzer auf denselben DNS-Endpunkt zugreifen können, unabhängig davon, ob Sie aus dem Intranet oder aus dem Internet kommen.Split DNS is usually unnecessary in a small Exchange deployment because users can access the same DNS endpoint whether they're coming from the intranet or the Internet. Bei größeren Bereitstellungen führt diese Konfiguration jedoch zu einer zu hohen Last auf Ihrem ausgehenden Internet-Proxy Server und Ihrem Reverse-Proxy Server.However, with larger deployments, this configuration will result in too high of a load on your outgoing Internet proxy server and your reverse proxy server. Konfigurieren Sie für größere Bereitstellungen das Split-DNS so, dass beispielsweise externe Benutzer auf Mail.contoso.com und die internen Benutzer auf Internal.contoso.com zugreifen.For larger deployments, configure split DNS so that, for example, external users access mail.contoso.com and internal users access internal.contoso.com. Durch die Verwendung von Split-DNS für diese Konfiguration wird sichergestellt, dass sich Ihre Benutzer nicht daran erinnern müssen, je nachdem, wo Sie sich befinden, unterschiedliche Hostname-Namen zu verwenden.Using split DNS for this configuration ensures that your users won't have to remember to use different host names depending on where they're located.

Windows PowerShell-RemotesitzungenRemote Windows PowerShell

Kerberos-Authentifizierung und Kerberos-Verschlüsselung werden für den Remote Windows PowerShell Zugriff sowohl aus dem Exchange Admin Center (EAC) als auch aus dem Exchange-Verwaltungsshell verwendet.Kerberos authentication and Kerberos encryption are used for remote Windows PowerShell access, from both the Exchange admin center (EAC) and the Exchange Management Shell. Daher müssen Sie Ihre SSL-Zertifikate nicht für die Verwendung mit Remote Windows PowerShell konfigurieren.Therefore, you won't have to configure your SSL certificates for use with remote Windows PowerShell.

Bewährte Methoden für digitale ZertifikateDigital certificates best practices

Wenngleich die Konfiguration der digitalen Zertifikate Ihrer Organisation basierend auf Ihren spezifischen Anforderungen variiert, sollen die nachfolgend aufgeführten bewährten Methoden Sie bei der Auswahl der richtigen Konfiguration für Ihre digitalen Zertifikate unterstützen.Although the configuration of your organization's digital certificates will vary based on its specific needs, information about best practices has been included to help you choose the digital certificate configuration that's right for you.

Bewährte Methode: Verwenden eines vertrauenswürdigen DrittanbieterzertifikatsBest practice: Use a trusted third-party certificate

Um zu verhindern, dass Clients Fehler in Bezug auf nicht vertrauenswürdige Zertifikate erhalten, muss das Zertifikat, das von Ihrem Exchange-Server verwendet wird, von einer Person ausgestellt werden, der der Client vertraut.To prevent clients from receiving errors regarding untrusted certificates, the certificate that's used by your Exchange server must be issued by someone that the client trusts. Obwohl die meisten Clients so konfiguriert werden können, dass Sie einem beliebigen Zertifikat oder Zertifikataussteller Vertrauen, ist es einfacher, ein vertrauenswürdiges Drittanbieterzertifikat auf Ihrem Exchange-Server zu verwenden.Although most clients can be configured to trust any certificate or certificate issuer, it's simpler to use a trusted third-party certificate on your Exchange server. Dies liegt daran, dass die meisten Clients ihren Stammzertifikaten bereits Vertrauen.This is because most clients already trust their root certificates. Es gibt mehrere Drittanbieter-Zertifikataussteller, die speziell für Exchange konfigurierte Zertifikate anbieten.There are several third-party certificate issuers that offer certificates configured specifically for Exchange. Sie können die Exchange-Verwaltungskonsole verwenden, um Zertifikatanforderungen zu generieren, die für die meisten Zertifikataussteller verwendet werden.You can use the EAC to generate certificate requests that work with most certificate issuers.

Vorgehensweise auswählen einer ZertifizierungsstelleHow to select a certification authority

Eine Zertifizierungsstelle (Certification Authority, ca) ist ein Unternehmen, das die Gültigkeit von Zertifikaten abgibt und sicherstellt.A certification authority (CA) is a company that issues and ensures the validity of certificates. Client Software (beispielsweise Browser wie Microsoft Internet Explorer oder Betriebssysteme wie Windows oder Mac OS) verfügen über eine integrierte Liste von CAS, denen Sie vertrauen.Client software (for example, browsers such as Microsoft Internet Explorer, or operating systems such as Windows or Mac OS) have a built-in list of CAs they trust. Diese Liste kann normalerweise zum Hinzufügen und Entfernen von CAS konfiguriert werden, diese Konfiguration ist jedoch häufig umständlich.This list can usually be configured to add and remove CAs, but that configuration is often cumbersome. Verwenden Sie die folgenden Kriterien, wenn Sie eine Zertifizierungsstelle zum erwerben ihrer Zertifikate auswählen:Use the following criteria when you select a CA to buy your certificates from:

  • Stellen Sie sicher, dass die Zertifizierungsstelle von der Client Software (Betriebssysteme, Browser und Mobiltelefone) als vertrauenswürdig eingestuft wird, die eine Verbindung mit Ihren Exchange-Servern herstellen wird.Ensure the CA is trusted by the client software (operating systems, browsers, and mobile phones) that will connect to your Exchange servers.

  • Wählen Sie eine Zertifizierungsstelle aus, die besagt, dass Sie "Unified Communications Zertifikate" für die Verwendung mit Exchange Server unterstützt.Choose a CA that says it supports "Unified Communications certificates" for use with Exchange server.

  • Stellen Sie sicher, dass die Zertifizierungsstelle die Arten von Zertifikaten unterstützt, die Sie verwenden werden.Make sure that the CA supports the kinds of certificates that you'll use. Sie sollten die Verwendung von San-Zertifikaten (Subject Alternative Name) verwenden.Consider using subject alternative name (SAN) certificates. Nicht alle CAS unterstützen San-Zertifikate, und andere CAS unterstützen nicht so viele Hostnamen, wie Sie möglicherweise benötigen.Not all CAs support SAN certificates, and other CAs don't support as many host names as you might need.

  • Stellen Sie sicher, dass Sie mit der Lizenz, die Sie für die Zertifikate erwerben, das Zertifikat auf die Anzahl der Server setzen können, die Sie verwenden möchten.Make sure that the license you buy for the certificates allows you to put the certificate on the number of servers that you intend to use. Bei einigen Zertifizierungsstellen können Sie nur ein Zertifikat auf einem Server ablegen.Some CAs only allow you to put a certificate on one server.

  • Vergleichen Sie die Zertifikat Preise zwischen CAS.Compare certificate prices between CAs.

Bewährte Methode: Verwenden von San-ZertifikatenBest practice: Use SAN certificates

Je nachdem, wie Sie die Dienstnamen in Ihrer Exchange-Bereitstellung konfigurieren, erfordert Ihr Exchange-Server möglicherweise ein Zertifikat, das mehrere Domänennamen darstellen kann.Depending on how you configure the service names in your Exchange deployment, your Exchange server may require a certificate that can represent multiple domain names. Auch wenn ein Platzhalterzertifikat, beispielsweise *für. contoso.com, dieses Problem lösen kann, sind viele Kunden mit den Sicherheitsauswirkungen der Verwaltung eines Zertifikats unbehaglich, das für jede Unterdomäne verwendet werden kann.Although a wildcard certificate, such as one for *.contoso.com, can resolve this problem, many customers are uncomfortable with the security implications of maintaining a certificate that can be used for any subdomain. Eine sicherere Alternative besteht darin, alle erforderlichen Domänen als Sans im Zertifikat aufzulisten.A more secure alternative is to list each of the required domains as SANs in the certificate. Dieser Ansatz wird standardmäßig verwendet, wenn Zertifikatanforderungen von Exchange generiert werden.By default, this approach is used when certificate requests are generated by Exchange.

Bewährte Methode: Verwenden des Exchange-Zertifikat-Assistenten zum Anfordern von ZertifikatenBest practice: Use the Exchange certificate wizard to request certificates

Es gibt viele Dienste in Exchange, die Zertifikate verwenden.There are many services in Exchange that use certificates. Ein häufiger Fehler beim Anfordern von Zertifikaten besteht darin, die Anforderung ohne Angabe des korrekten Satzes von Dienstnamen zu stellen.A common error when requesting certificates is to make the request without including the correct set of service names. Mit dem Zertifikat-Assistenten im Exchange Admin Center können Sie die richtige Liste der Namen in die Zertifikatanforderung einbeziehen.The certificate wizard in the Exchange admin center will help you include the correct list of names in the certificate request. Mit dem Assistenten können Sie angeben, mit welchen Diensten das Zertifikat zusammenarbeiten soll, und, basierend auf den ausgewählten Diensten, die Namen enthalten, die Sie im Zertifikat haben müssen, damit es mit diesen Diensten verwendet werden kann.The wizard lets you specify which services the certificate has to work with and, based on the services selected, includes the names that you must have in the certificate so that it can be used with those services. Führen Sie den Zertifikat-Assistenten aus, nachdem Sie die anfängliche Gruppe von Exchange 2013 Servern bereitgestellt und bestimmt haben, welche Hostnamen für die verschiedenen Dienste für Ihre Bereitstellung verwendet werden sollen.Run the certificate wizard when you've deployed your initial set of Exchange 2013 servers and determined which host names to use for the different services for your deployment. Idealerweise müssen Sie den Zertifikat-Assistenten nur einmal für jede Active Directory Website ausführen, auf der Sie Exchange bereitstellen.Ideally you'll only have to run the certificate wizard one time for each Active Directory site where you deploy Exchange.

Statt sich Gedanken darüber zu machen, dass Sie einen Hostnamen in der San-Liste des erworbenen Zertifikats vergessen müssen, können Sie eine Zertifizierungsstelle verwenden, die kostenlos eine Kulanzzeit anbietet, in der Sie ein Zertifikat zurückgeben und dasselbe neue Zertifikat mit ein paar Anfragen anfordern können. zusätzliche Hostnamen.Instead of worrying about forgetting a host name in the SAN list of the certificate that you purchase, you can use a certification authority that offers, at no charge, a grace period during which you can return a certificate and request the same new certificate with a few additional host names.

Bewährte Methode: Verwenden Sie so wenige Hostnamen wie möglich.Best practice: Use as few host names as possible

Zusätzlich zur Verwendung von möglichst wenigen Zertifikaten sollten Sie auch so wenige Hostnamen wie möglich verwenden.In addition to using as few certificates as possible, you should also use as few host names as possible. Diese Methode kann Geld sparen.This practice can save money. Viele Zertifikatanbieter berechnen eine Gebühr basierend auf der Anzahl der Hostnamen, die Sie Ihrem Zertifikat hinzufügen.Many certificate providers charge a fee based on the number of host names you add to your certificate.

Der wichtigste Schritt, den Sie ausführen können, um die Anzahl der Hostnamen zu reduzieren, die Sie benötigen, und daher die Komplexität Ihrer Zertifikatverwaltung ist nicht das einschließen einzelner Serverhostnamen in die alternativen Antragstellernamen Ihres Zertifikats.The most important step you can take to reduce the number of host names that you must have and, therefore, the complexity of your certificate management, is not to include individual server host names in your certificate's subject alternative names.

Die Hostnamen, die Sie in Ihren Exchange-Zertifikaten einschließen müssen, sind die Hostnamen, die von Clientanwendungen zum Herstellen einer Verbindung mit Exchange verwendet werden.The host names you must include in your Exchange certificates are the host names used by client applications to connect to Exchange. Im folgenden finden Sie eine Liste der typischen Hostnamen, die für ein Unternehmen namens "Contoso" erforderlich wären:The following is a list of typical host names that would be required for a company named Contoso:

  • Mail.contoso.com: dieser Hostname umfasst die meisten Verbindungen zu Exchange, einschließlich Microsoft Outlook, Outlook Web App, Outlook Anywhere, das Offline Adressbuch, Exchange Webdienste, POP3, IMAP4, SMTP, Exchange-Systemsteuerung und ActiveSync.Mail.contoso.com: This host name covers most connections to Exchange, including Microsoft Outlook, Outlook Web App, Outlook Anywhere, the Offline Address Book, Exchange Web Services, POP3, IMAP4, SMTP, Exchange Control Panel, and ActiveSync.

  • Autodiscover.contoso.com: dieser Hostname wird von Clients verwendet, die die AutoErmittlung unterstützen, darunter Microsoft Office Outlook 2007 und höhere Versionen, Exchange ActiveSync und Exchange Webdienste-Clients.Autodiscover.contoso.com: This host name is used by clients that support Autodiscover, including Microsoft Office Outlook 2007 and later versions, Exchange ActiveSync, and Exchange Web Services clients.

  • Legacy.contoso.com: dieser Hostname ist in einem Szenario für die Koexistenz mit Exchange 2007 und Exchange 2013 erforderlich.Legacy.contoso.com: This host name is required in a coexistence scenario with Exchange 2007 and Exchange 2013. Wenn Sie Clients mit Postfächern in Exchange 2007 und Exchange 2013 haben, verhindert das Konfigurieren eines legacyhostnamens, dass Ihre Benutzer während des Upgradevorgangs keine zweite URL erlernen müssen.If you'll have clients with mailboxes on Exchange 2007 and Exchange 2013, configuring a legacy host name prevents your users from having to learn a second URL during the upgrade process.

Grundlegendes zu PlatzhalterzertifikatenUnderstanding wildcard certificates

Ein Platzhalterzertifikat dient zur Unterstützung einer Domäne und mehrerer Unterdomänen.A wildcard certificate is designed to support a domain and multiple subdomains. Wenn Sie beispielsweise ein Platzhalterzertifikat *für. contoso.com konfigurieren, ergibt sich ein Zertifikat, das für Mail.contoso.com, Web.contoso.com und autodiscover.contoso.com verwendet werden kann.For example, configuring a wildcard certificate for *.contoso.com results in a certificate that will work for mail.contoso.com, web.contoso.com, and autodiscover.contoso.com.