Exchange Hybrid Zertifikate tauschen

In diesem Artikel möchte ich Euch zeigen, wie man bei Exchange Hybrid Zertifikate tauschen muss.

Irgendwann läuft jedes Zertifikat einmal aus und muss durch ein neues Zertifikat ersetzt werden. Nutzt man dabei eine hybride Exchange Umgebung, müssen ein paar Dinge beachtet werden.

Zuerst müssen wir das neue Zertifikat auf unserem lokalen Exchange verfügbar machen. Das funktioniert am Einfachsten über die Exchange Managementshell. Hierfür benötigt man das Zertifikat im PFX-Format und das zugehörige Passwort. Der Befehl zum Hinzufügen eines Zertifikats sieht folgendermaßen aus:

Import-ExchangeCertificate -Server Mailbox01 -FileName" \\FileServer01\Certs\Exchange Cert.pfx" -Password (ConvertTo-SecureString -String 'P@ssw0rd1' -AsPlainText -Force)

 

Nachdem das neue Zertifikat dem Exchange bekannt ist, können wir es auch gleich produktiv nutzen. Die Konfiguration kann recht einfach über das Exchange Admin Center (ECP) erfolgen.

Exchange Hybrid Zertifikate tauschen

Wir wählen das neue Zertifikat aus und können es verschiedenen Exchange-Diensten zuweisen. In diesem Fall nutzen wir das Zertifikat für den IIS und SMTP Dienst. Würden wir Exchange nur lokal betreiben, ohne Exchange Online, wären wir an dieser Stelle schon fertig. Bei unserem Szenario  müssen wir allerdings noch ein paar weitere Punkte bezüglich der Exchange Hybrid Zertifikate beachten.

Und zwar muss bei dem neuen Zertifikat der Aussteller kontrolliert werden. Ist der Aussteller identisch mit dem vorherigen Zertifikat müssen wir auch in unseren hybriden Umgebung keine weiteren Änderungen vornehmen. Unterscheidet sich der Aussteller allerdings zwischen den Zertifikaten ist momentan keine E-Mail-Kommunikation zwischen unserem lokalen Exchange und Exchange Online mehr möglich. Und zwar in beiden Richtungen.

Damit die Kommunikation wieder funktioniert, müssen wir den Aussteller des Zertifikats aktualisieren. Dieser wird bei der Kommunikation nämlich ebenfalls auf Korrektheit überprüft. Das Ganze funktioniert nur über Exchange Management Shell. Zuerst bauen wir den korrekten String für den Aussteller des Zertifikats zusammen. Das funktioniert mit folgenden Befehlen:

#Alle vorhandenen Exchange Zertifikate anzeigen
Get-ExchangeCertificate
#Das neue Zertifikat mit dem korrekten Thumbprint auswählen
$cert = Get-ExchangeCertificate -Thumbprint <thumbprint>
#String für den Aussteller zusammenfügen
$TLSCert = (‘<I>’+$cert.issuer+'<S>’+$cert.subject)

In der Variable $TLSCert befindet sich nun der korrekte String, den wir jetzt weiter verarbeiten müssen. Damit die Kommunikation von unserem lokalen Exchange zu Exchange Online wieder funktioniert, müssen wir den Sendeconnector für Office 365 aktualisieren. Auch das funktioniert wieder über die Exchange Management Shell:

Set-SendConnector "Outbound to Office 365" -TlsCertificateName $TLSCert

Den erfolgreichen Tausch dieser Informationen kann man natürlich auch über die Exchange Management Shell prüfen.

Damit die Kommunikation von Exchange Online zu unserem lokalen Exchange wieder funktioniert, müssen wir auch unseren lokalen Empfangsconnector (der für den Empfang der E-Mails von Exchange Online genutzt wird) mit den neuen Daten für das Zertifikat aktualisieren. Wie gewohnt funktioniert dies über die Exchange Management Shell:

Set-ReceiveConnector "Mailbox01\Default Frontend Mailbox01" -TlsCertificateName $TLSCert

Danach funktioniert auch die Kommunikation von Exchange Online zu unserem lokalen Exchange wieder und somit sind wir mit dem Tausch des Zertifikats fertig.

Nun können wir warten, bis auch das neue Zertifikat abgelaufen ist und können es ganz einfach erneuern. 😉

5 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert