Sie benötigen hierfür die openssl Tools (Download unten). Installieren Sie diese und gehen Sie nach c:\openssl-win32\bin.
Weiterhin benötigen sie eine Keydatei, die CA-Bundle Datei (Certificatechain) und das Zertifikat selber.
Starten sie nun den folgenden Befehl:
openssl pkcs12 -export -out zertifikat.pfx -inkey privateKey.key -in zertifikat.crt -certfile name.ca-bundleTragen sie hier natürlich die richtigen Namenswerte ein.
Bitte löschen sie nachher die temporären Dateien wieder und sichern sie das fertige Zertifikat – notieren sie sich auch bitte das Kennwort, das zum Schutz der PFX Datei verwendet wurde.
Download: https://www.heise.de/download/product/win32-openssl-47316/download
Bitte nachher nicht vergessen, die Dateien und alten Zertifikate zu bereinigen!!!
Tipp:
Updates des Exchange Zertifikates wie folgt (natürlich Servername, Pfade und Passwort bitte anpassen und die Datei freigeben und anschließend die Freigabe sowie das Zertifikat wieder entfernen):
Import-ExchangeCertificate -Server "EXCHANGENAME" -FileData ([System.IO.File]::ReadAllBytes('\\localhost\tmp\wildcard.pfx')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'Passwort' -AsPlainText -Force)Sollten sie mehrere Exchangeserver haben, dann kann man diese auf einmal mit dem folgenden Befehl aktualsiieren:
get-exchangeserver|Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\localhost\tmp\wildcard.pfx')) -PrivateKeyExportable:$true -Password (ConvertTo-SecureString -String 'Passwort' -AsPlainText -Force)Danach noch in der ECP die Dienste zuordnen und das alte Zertifikat bereinigen.
Ggf. falls erforderlich noch anderen Servern wie Webservern und Firewall anpassen (Email, Webserver, Mailrelay, RDS Gatewayserver, Webadmin, Userportal usw.).
Quelle: https://www.alitajran.com/import-certificate-exchange-server/
SAN bzw. Multidomain Zertifkate CSR für Exchange erstellen sie in einer Exchange Powershell wie folgt (natürlich die Werte anpassen):
$CSR = New-ExchangeCertificate -Server "SERVERNAME" -GenerateRequest -FriendlyName "Remote 2024" -PrivateKeyExportable $true -SubjectName "c=DE, s=NRW, l=Ort, o=Firmenname, ou=IT, cn=remote.domain.com" -DomainName autodiscover.domain.com
$CSRDiesen CSR nun einreichen und das Zertifkat nach z.B. c:\install kopieren, anschließend mit dem folgenden Befehl importieren (natürlich die Werte entsprechend anpassen):
$ImportCert = Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\Install\certificate.cer -Encoding byte -ReadCount 0))Dann natürlich noch die Werte anpassen, ggf. auch weitere Sites (z.B. IIS Bindungen für Admin EAC usw.) anpassen, dann per PFX exportieren und auf alle anderen benötigten Ressourcen z.B. Firewalls, Webserver, WAF usw.) einpflegen.
Weitere Informationen: https://www.frankysweb.de/exchange-zertifikate-per-shell-anfordern-und-importieren/
