Digitale Zertifikate auf einem Microsoft On-Premises Exchange Server gewährleisten die verschlüsselte Kommunikation zwischen Servern, Clients und externen Diensten. Sie schützen vor Angriffen wie Man-in-the-Middle und stellen sicher, dass die Identität des Servers verifiziert ist. Ein Austausch von Zertifikaten wird erforderlich, wenn diese ablaufen, kompromittiert wurden oder neue Anforderungen an die Verschlüsselung erfüllt werden müssen.

Anleitung: Zertifikate austauschen mit der Exchange Management Shell

Die folgende Anleitung beschreibt die Schritte zum sicheren Austausch eines Zertifikats mithilfe der Exchange Management Shell oder PowerShell. Bitte führen Sie alle Befehle mit Administratorrechten aus.

1. Vorbereitung

• Stellen Sie sicher, dass das neue Zertifikat als PFX-Datei vorliegt.


• Notieren Sie sich die Thumbprints (Fingerabdrücke) des alten und neuen Zertifikats.


• Sichern Sie vor Beginn alle Einstellungen und führen Sie ein Backup des Exchange-Servers durch.

2. Importieren des neuen Zertifikats

Start der ExchangeManagementShell

Import-ExchangeCertificate -Server "SERVERNAME" -FileData ([System.IO.File]::ReadAllBytes('C:\Zertifikate\neues-zertifikat.pfx')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'KENNWORT-PLATZHALTER' -AsPlainText -Force)


SERVERNAME, Pfad C:\Zertifikate\neues-zertifikat.pfx und KENNWORT-PLATZHALTER sind auszutauschen.

Nach erfolgreichem Import erhalten Sie eine Übersicht aller Zertifikate auf dem Server.

3. Anzeigen und Überprüfen der Zertifikate


Get-ExchangeCertificate


Prüfen Sie den Thumbprint des neuen Zertifikats und verifizieren Sie ihn, falls notwendig, über das ECP (Webinterface: Server > Zertifikate).

4. Festlegen des neuen Zertifikats für den ReceiveConnector (Empfangsconnector)

Den Namen des Empfangsconnectors finden Sie in der Weboberfläche ihres Exchange-Servers unter: Nachrichtenfluss->Empfangsconnectors


$cert = Get-ExchangeCertificate -Thumbprint NEUER-THUMBPRINT
$TLSCert = ('<I>' + $cert.issuer + '<S>' + $cert.subject)
Set-ReceiveConnector SERVERNAME\NAME-DES-EMPFANGSCONNECTORS -TlsCertificateName $TLSCert


NEUER-THUMBPRINT und SERVERNAME\NAME-DES-EMPFANGSCONNECTORS sind auszutauschen.

5. Neustart von IIS


IISRESET


Dies sorgt dafür, dass die Änderungen übernommen werden.

6. Entfernen des SendeConnector Zertifikats

Den Namen des Sendeconnectors finden Sie in der Weboberfläche ihres Exchange-Servers unter: Nachrichtenfluss->Sendeconnectors

Um mögliche Sicherheitsrisiken zu minimieren, entfernen Sie nicht mehr benötigte Zertifikate:


Set-SendConnector -Identity NAME-DES-SENDECONNECTORS -TlsCertificateName $null

Remove-ExchangeCertificate -Thumbprint ALTER-THUMBPRINT


NAME-DES-SENDECONNECTORS und ALTER-THUMBPRINT sind auszutauschen.

7. Aktivieren des neuen SendeConnector Zertifikats

Den Namen des Sendeconnectors finden Sie in der Weboberfläche ihres Exchange-Servers unter: Nachrichtenfluss->Sendeconnectors

$cert = Get-ExchangeCertificate -Thumbprint NEUER-THUMBPRINT
$TLSCert = ('<I>' + $cert.issuer + '<S>' + $cert.subject)
Set-SendConnector "NAME-DES-SENDECONNECTORS" -TlsCertificateName $TLSCert

NEUER-THUMBPRINT und NAME-DES-SENDECONNECTORS sind auszutauschen.


Enable-ExchangeCertificate -Server "SERVERNAME" -Thumbprint NEUER-THUMBPRINT -Services SMTP


SERVERNAME und NEUER-THUMBPRINT sind auszutauschen.

Damit wird das neue Zertifikat für den SMTP-Dienst aktiviert.

Fazit

Durch die Aktualisierung des Zertifikats stellen Sie sicher, dass Ihr Exchange Server weiterhin sichere und zuverlässige Kommunikation ermöglicht. Dieser Prozess ist komplex, aber essenziell für die IT-Sicherheit.

Wir unterstützen Sie gerne

Benötigen Sie Unterstützung beim Austausch von Zertifikaten oder anderen sicherheitsrelevanten Themen? Als erfahrener IT-Dienstleister stehen wir Ihnen mit Rat und Tat zur Seite. Kontaktieren Sie uns gerne für eine kostenfreie Erstberatung!