Exchange interne und extern Zertifikate – best practice

In den meisten Fälle hängt der Exchange mit dem Arsch im Internet und präsentiert anderen Mailservern ggü. sein gültiges SSL-Zertifikat was auf den FQDN ausgestellt wurde.

Für die interne Kommunikation des Exchange jedoch, ist ein zusätzliches und in der Regel selbst-signiertes Zertifikat nötig. Itt das nicht (mehr) vorhanden, findet sich im Event-Log:

Exchange was unable to load certificate EX01.KUNDENNAME.INTERN. More information: Is FrontEnd Proxy enabled: false. Original backend Server: EX01.KUNDENNAME.INTERN. Send Connector Name from the original request: Postfachproxy-Sendeconnector.

oder aber auch:

Microsoft Exchange could not find a certificate that contains the domain name EX01.KUNDENNAME.INTERN in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Client Proxy EX01 with a FQDN parameter of EX01.KUNDENNAME.INTERN. If the connector’s FQDN is not specified, the computer’s FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.

Was tun? Selbstsigniertes Zertifikat für internen FQDN ausstellen über EAC:

Server -> Zertifikate -> NEU -> Selbstsigniertes Zertifikat erstellen ->

Anzeigename: EX01.KUNDENNAME.INTERN

Exchange-Server auswählen

Jetzt kommt der wichtige Part. in der nächsten Auswahllliste, nur weiter und jetzt GAAANZ WICHTIG: Alles abwählen, was über das öffentliche Zertifikat bereits bedient wird. In der Liste darf dann nur noch EX01 stehen sowie EX01.KUNDENNAME.INTERN

Wenn erstellt ab auf die Exchange Shell und mit …

„Get-ExchangeCertificate“

Thumbprints auslesen aller Zertifiakte, merken vom internen selbstsignierten und mit … scharf schalten für SMTP:

"Enable-ExchangeCertificate -Thumbprint HIER-THUMBPRINT-ID-OHNE-ANFUEHRUNGSZEICHEN -Services SMTP"

Jetzt Event-Log weiter beobachten.