Enable-ExchangeCertificate
Dieses Cmdlet ist nur lokal in Exchange verfügbar.
Verwenden Sie das Cmdlet Enable-ExchangeCertificate, um ein vorhandenes Zertifikat auf dem Exchange-Server für Exchange-Dienste wie Internetinformationsdienste (IIS), SMTP, POP, IMAP und Unified Messaging (UM) zu aktivieren. Nachdem Sie ein Zertifikat für einen Dienst aktiviert haben, können Sie es nicht mehr deaktivieren.
Verwenden Sie Get-ExchangeCertificate, um die vorhandenen Zertifikate anzuzeigen, die für Exchange-Dienste verwendet werden.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
Enable-ExchangeCertificate
[-Thumbprint] <String>
-Services <AllowedServices>
[-Confirm]
[-DomainController <Fqdn>]
[-DoNotRequireSsl]
[-Force]
[-NetworkServiceAllowed]
[-Server <ServerIdParameter>]
[-WhatIf]
[<CommonParameters>] Enable-ExchangeCertificate
[[-Identity] <ExchangeCertificateIdParameter>]
-Services <AllowedServices>
[-Confirm]
[-DomainController <Fqdn>]
[-DoNotRequireSsl]
[-Force]
[-NetworkServiceAllowed]
[-WhatIf]
[<CommonParameters>] Beschreibung
Das Cmdlet Enable-ExchangeCertificate aktiviert Zertifikate, indem die Metadaten aktualisiert werden, die mit dem Zertifikat gespeichert sind. Um ein vorhandenes Zertifikat für die Verwendung mit zusätzlichen Exchange-Diensten zu aktivieren, verwenden Sie dieses Cmdlet, um die Dienste anzugeben.
Nachdem Sie das Cmdlet Enable-ExchangeCertificate ausgeführt haben, müssen Sie internetinformationsdienste (IIS) möglicherweise neu starten. In einigen Szenarien möchte Exchange möglicherweise weiterhin das vorherigen Zertifikat zum Verschlüsseln und Entschlüsseln von Cookies verwenden, das für die Outlook im Web-Authentifizierung (ehemals Outlook Web App) verwendet wurde. Es wird empfohlen, IIS in Umgebungen neu zu starten, die Layer 4-Lastenausgleich verwenden.
Bei der Konfiguration von Zertifikaten für TLS- (Transport Layer Security) und SSL-Dienste (Secure Sockets Layer) sind eine Reihe von Faktoren zu beachten. Sie müssen wissen, welche Auswirkungen diese Faktoren auf Ihre Gesamtkonfiguration haben. Weitere Informationen finden Sie unter Digitale Zertifikate und Verschlüsselung in Exchange Server.
Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Sie sind so eng miteinander verbunden, dass die Begriffe "SSL" und "TLS" (ohne Versionen) häufig synonym verwendet werden. Aufgrund dieser Ähnlichkeit wurden Verweise auf "SSL" in Exchange-Themen, dem Exchange Admin Center und der Exchange-Verwaltungsshell häufig verwendet, um sowohl das SSL- als auch das TLS-Protokoll zu umfassen. „SSL“ bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Weitere Informationen finden Sie unter Exchange Server bewährte Methoden für die TLS-Konfiguration.
Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.
Beispiele
Beispiel 1
Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IISIn diesem Beispiel wird ein Zertifikat für POP-, IMAP-, SMTP- und IIS-Dienste aktiviert.
Parameter
-Confirm
Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.
- Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen:
-Confirm:$false. - Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-DomainController
Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.
Der DomainController-Parameter wird auf Edge-Transport-Servern nicht unterstützt. Edge-Transport-Server verwenden die lokale Instanz von Active Directory Lightweight Directory Services (AD LDS), um Daten zu lesen und zu schreiben.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-DoNotRequireSsl
Der Schalter DoNotRequireSsl verhindert, dass der Befehl die Einstellung "SSL erforderlich" auf der Standardwebsite aktiviert, wenn Sie das Zertifikat für IIS aktivieren. Sie müssen bei dieser Option keinen Wert angeben.
Wenn Sie diesen Schalter nicht verwenden und den Parameter Services verwenden, um das Zertifikat für IIS zu aktivieren, aktiviert der Befehl die Einstellung "SSL erforderlich" für die Standardwebsite in IIS.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Force
Der Schalter „Erzwingen“ blendet Warnungs- oder Bestätigungsmeldungen aus. Sie müssen keinen Wert für diese Option angeben.
Sie können diesen Switch verwenden, um Aufgaben in Fällen programmgesteuert auszuführen, in denen die administrative Eingabe unangemessen ist.
Wenn Sie ein Zertifikat für SMTP aktivieren, werden Sie standardmäßig vom Befehl aufgefordert, das vorhandene Zertifikat zu ersetzen, das für SMTP aktiviert ist, bei dem es sich wahrscheinlich um das selbstsignierte Exchange-Standardzertifikat handelt.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Identity
Der Parameter Identity gibt das Zertifikat an, das Sie konfigurieren möchten. Gültige Werte sind:
ServerNameOrFQDN\ThumbprintThumbprint
Den Fingerabdruckwert können Sie mithilfe des Cmdlets Get-ExchangeCertificate abrufen.
Verwenden Sie diesen Parameter nicht zusammen mit dem Parameter "Server".
Der Parameter "Thumbprint", und nicht der Parameter "Identity", ist der Positionsparameter für dieses Cmdlet. Wenn Sie daher einen Thumbprint-Wert allein angeben, verwendet der Befehl diesen Wert für den Thumbprint-Parameter.
| Type: | ExchangeCertificateIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-NetworkServiceAllowed
Der Switch NetworkServiceAllowed erteilt dem integrierten Netzwerkdienstkonto die Berechtigung, den privaten Schlüssel des Zertifikats zu lesen, ohne das Zertifikat für SMTP zu aktivieren. Sie müssen bei dieser Option keinen Wert angeben.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Server
Der Parameter "Server" gibt den Exchange-Server an, auf dem dieser Befehl ausgeführt werden soll. Der Parameter MailboxServer gibt den zu testenden exExchange2k16- oder exExchange2k13-Postfachserver an. Beispiel:
- Name
- FQDN
- Distinguished Name (DN)
- Exchange-Legacy-DN
Exchange-Legacy-DN
Sie können diesen Parameter nicht mit dem Parameter Identity verwenden. Er kann jedoch mit dem Parameter Thumbprint verwendet werden.
| Type: | ServerIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Services
Der Parameter Services gibt die Exchange-Dienste an, für die das Zertifikat aktiviert ist. Gültige Werte sind:
- Verbund: Verwenden Sie diesen Befehl nicht, um ein Zertifikat für den Verbund zu aktivieren. Wenn Sie eine Verbundvertrauensstellung erstellen oder ändern, wird die Art und Weise der Verwendung von Zertifikaten für einen Verbund aktiviert oder geändert. Sie verwalten die Zertifikate, die für Verbundvertrauensstellungen verwendet werden, mit den Cmdlets New-FederationTrust und Set-FederationTrust.
- IIS: Wenn Sie ein Zertifikat für IIS aktivieren, wird standardmäßig die Einstellung "SSL erforderlich" auf der Standardwebsite in IIS konfiguriert. Um diese Änderung zu verhindern, verwenden Sie den Schalter DoNotRequireSsl.
- IMAP: Aktivieren Sie kein Wildcardzertifikat für den IMAP4-Dienst. Verwenden Sie stattdessen das Cmdlet Set-ImapSettings, um den FQDN zu konfigurieren, den Clients zum Herstellen einer Verbindung mit dem IMAP4-Dienst verwenden.
- POP: Aktivieren Sie kein Wildcardzertifikat für den POP3-Dienst. Verwenden Sie stattdessen das Cmdlet Set-PopSettings zum Konfigurieren des vollqualifizierten Domänennamens, den Clients verwenden, um eine Verbindung zum POP3-Dienst herzustellen.
- SMTP: Wenn Sie ein Zertifikat für SMTP aktivieren, werden Sie aufgefordert, das standardmäßige selbstsignierte Exchange-Zertifikat zu ersetzen, das zum Verschlüsseln des SMTP-Datenverkehrs zwischen internem Exchange verwendet wird. In der Regel müssen Sie das Standardzertifikat nicht durch ein Zertifikat einer kommerziellen Zertifizierungsstelle ersetzen, um internen SMTP-Datenverkehr zu verschlüsseln. Verwenden Sie den Switch Force, wenn Sie das Standardzertifikat ohne die Eingabeaufforderung ersetzen möchten.
- UM: Sie können ein Zertifikat für den UM-Dienst nur aktivieren, wenn der UMStartupMode-Parameter im cmdlet Set-UMService auf TLS oder Dual festgelegt ist. Wenn der UMStartupMode-Parameter auf den Standardwert TCP festgelegt ist, können Sie das Zertifikat für den UM-Dienst nicht aktivieren.
- UMCallRouter: Sie können ein Zertifikat für den UM-Anrufrouterdienst nur aktivieren, wenn der UMStartupMode-Parameter im cmdlet Set-UMCallRouterService auf TLS oder Dual festgelegt ist. Wenn der Parameter UMStartupMode auf den Standardwert TCP festgelegt ist, können Sie das Zertifikat nicht für den UM-Anrufweiterleitungsdienst aktivieren.
Es können mehrere Werte durch Kommata getrennt angegeben werden.
Die Werte, die Sie mit diesem Parameter angeben, sind additiv. Wenn Sie ein Zertifikat für einen oder mehrere Dienste aktivieren, verbleiben alle vorhandenen Dienste in der Eigenschaft Dienste, und Sie können die vorhandenen Dienste nicht entfernen. Konfigurieren Sie stattdessen ein anderes Zertifikat für die Dienste, und entfernen Sie dann das Zertifikat, das Sie nicht verwenden möchten.
Dienste weisen unterschiedliche Zertifikatanforderungen auf. Einige Dienste erfordern beispielsweise einen Servernamen in den Feldern Antragstellername oder alternativer Antragstellername des Zertifikats, andere Dienste erfordern jedoch möglicherweise einen FQDN. Vergewissern Sie sich, dass das Zertifikat die Dienste unterstützt, die Sie konfigurieren möchten.
| Type: | AllowedServices |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Thumbprint
Der Parameter Thumbprint gibt das Zertifikat an, das Sie konfigurieren möchten. Den Fingerabdruckwert können Sie mithilfe des Cmdlets Get-ExchangeCertificate abrufen.
Der Parameter "Thumbprint", und nicht der Parameter "Identity", ist der Positionsparameter für dieses Cmdlet. Wenn Sie daher einen Thumbprint-Wert allein angeben, verwendet der Befehl diesen Wert für den Thumbprint-Parameter.
| Type: | String |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-WhatIf
Die Option "WhatIf" simuliert die Aktionen des Befehls. Sie können diesen Switch verwenden, um die Änderungen anzuzeigen, die auftreten würden, ohne diese Änderungen tatsächlich anzuwenden. Sie müssen keinen Wert für diese Option angeben.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Eingaben
Input types
Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.
Ausgaben
Output types
Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für