Verwalten des Exchange Server OAuth-Zertifikats

Allgemeine Informationen

In dieser Dokumentation werden die erforderlichen Schritte beschrieben, um das Exchange Server-Authentifizierungszertifikat zu rotieren, ohne den Exchange-Dienst zu unterbrechen und bevor das aktuelle abläuft.

Tipp

Sie können auch das Skript MonitorExchangeAuthCertificate verwenden. Es führt die erforderlichen Schritte aus, um das OAuth-Zertifikat automatisch zu rotieren. Es kann Ihnen auch helfen, das OAuth-Zertifikat zu ersetzen, wenn es bereits abgelaufen ist.

Die Authentifizierungskonfiguration und das Authentifizierungszertifikat werden vom Microsoft Exchange-Server verwendet, um die Server-zu-Server-Authentifizierung mithilfe des OAuth-Protokollstandards (Open Authorization) zu aktivieren. Weitere Informationen dazu finden Sie im folgenden Artikel: Planen der Exchange-Integration mit SharePoint und Skype for Business

Das Authentifizierungszertifikat wird auch von mehreren Exchange Server-Sicherheitsfeatures verwendet.

Während der Installation des ersten Exchange-Servers generiert die Setuproutine ein selbstsigniertes Zertifikat mit dem Anzeigenamen Microsoft Exchange Server Auth Certificate, das dann einer neuen Authentifizierungskonfiguration hinzugefügt wird. Dieses Zertifikat wird automatisch auf alle Front-End-Server in der Exchange-Organisation repliziert. Exchange Certificate Servicelet führt die Replikation durch, die Teil des MSExchangeServiceHost Prozesses ist. Wenn Sie Ihrer Exchange-Organisation weitere Server hinzufügen, kümmert sich das Servicelet um die Replikation des Zertifikats auf alle Exchange-Server, die der Organisation hinzugefügt wurden.

Das Zertifikat, das als aktuelles Authentifizierungszertifikat konfiguriert ist, kann abgefragt werden, indem die folgende PowerShell-Abfrage (muss in der Exchange-Verwaltungsshell ausgeführt werden) ausgeführt werden:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore

Wenn der Aufruf mit der folgenden Warnung fehlschlägt, bedeutet dies, dass das aktuelle Authentifizierungszertifikat auf dem Server fehlt.

A special Rpc error occurs on server <Servername>: The certificate with thumbprint <AuthCertificateThumbprint> was not found.

Befolgen Sie die Anweisungen im Abschnitt "Welche Schritte müssen ausgeführt werden, wenn das aktuelle Zertifikat bereits abgelaufen ist oder fehlt?", um die Korrektur zu beheben.

Das Zertifikat, das als nächstes Authentifizierungszertifikat konfiguriert ist, kann wie folgt abgefragt werden:

(Get-AuthConfig).NextCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore

Wenn der Aufruf mit der gleichen Warnung wie für das aktuelle Authentifizierungszertifikat fehlschlägt, bedeutet dies, dass das nächste Authentifizierungszertifikat nicht konfiguriert ist oder auf dem Server fehlt.

Befolgen Sie die Anweisungen unter "Rotieren des Exchange Server-Authentifizierungszertifikats" , wenn das aktuelle Authentifizierungszertifikat bald abläuft.

Welche Schritte müssen ausgeführt werden, wenn das aktuelle Zertifikat bereits abgelaufen ist oder fehlt?

In diesem Fall muss das alte Authentifizierungszertifikat sofort durch ein neues ersetzt werden. Befolgen Sie die Anweisungen im Abschnitt mit den Lösungen des folgenden Supportartikels: Anmeldung bei Outlook im Web oder EAC nicht möglich, wenn das Exchange Server OAuth-Zertifikat abgelaufen ist.

Rotieren des Exchange Server-Authentifizierungszertifikats

Es ist wichtig, das aktive Authentifizierungszertifikat durch ein neues zu ersetzen, bevor es abläuft. Dadurch wird ein reibungsloser Übergang zu einem neuen Zertifikat sichergestellt, ohne den Exchange-Dienst zu unterbrechen. Sie können die folgenden Schritte ausführen, um ein neues Authentifizierungszertifikat vorzubereiten und zu stagen.

Wichtig

Stellen Sie sicher, dass Sie das neueste kumulative Exchange Server-Update (CU) installiert haben, da es Korrekturen enthält, die sich auf das entsprechende Exchange-Feature auswirken.

  1. Generieren Sie ein neues Authentifizierungszertifikat, indem Sie den folgenden Befehl ausführen:

    $newAuthCertificate = New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
    
  2. Überschreiben Sie das vorhandene SMTP-Standardzertifikat nicht (geben Sie "N" ein, und drücken Sie die EINGABETASTE):

    Confirm
    Overwrite the existing default SMTP certificate?
    
    Current certificate: '<DefaultSMTPCertificateThumbprint>' (expires 12/30/2027 2:39:08 PM)
    Replace it with certificate: '<NewCertificateThumbprint>' (expires 1/5/2028 9:04:48 AM)
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): N
    
  3. Konfigurieren Sie das Authentifizierungszertifikat so, dass es frühestens in 49 Stunden das neue aktive Zertifikat wird:

    Set-AuthConfig -NewCertificateThumbprint $newAuthCertificate.Thumbprint -NewCertificateEffectiveDate (Get-Date).AddHours(49)
    

Je nach Größe Ihrer Exchange-Organisation kann es einige Zeit dauern, bis das neue Authentifizierungszertifikat auf allen Exchange-Servern bereitgestellt wird. Es wird empfohlen, mindestens 48 Stunden zu planen, bevor das neu generierte Authentifizierungszertifikat aktiv wird. In einer großen Exchange-Umgebung kann dies noch länger dauern.

Ein Verweis auf das Authentifizierungszertifikat wird vom MSExchangeOWAAppPool Anwendungspool und MSExchangeECPAppPool zwischengespeichert. Sie können diese Anwendungspools wiederverwenden, um diesen Verweis zu aktualisieren. Führen Sie dazu die folgenden Befehle in einem PowerShell-Fenster mit erhöhten Rechten aus:

Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

Das Exchange AuthAdmin-Servicelet, das ebenfalls Teil des MSExchangeServiceHost Prozesses ist, ist für den endgültigen Veröffentlichungsprozess des Authentifizierungszertifikats verantwortlich. Das Servicelet wird sofort ausgeführt, wenn der MSExchangeServiceHost Dienst neu gestartet wird. Danach wird es alle 12 Stunden ausgeführt, und wenn erkannt wird, dass erreicht NewCertificateEffectiveDate ist, wird das neue Authentifizierungszertifikat veröffentlicht, um es zum neuen aktiven Zertifikat zu machen.

Um sicherzustellen, dass das AuthAdmin-Servicelet gestartet werden kann, müssen Sie aktivieren AuthAdminReadSession , wenn Ihre Exchange-Server in einer untergeordneten Domäne installiert sind und sich das Systempostfach in der Stammdomäne befindet. Andernfalls kann das AuthAdmin-Servicelet nicht gestartet werden. Führen Sie das folgende PowerShell-Cmdlet aus, wenn Ihre Exchange-Server in der beschriebenen Konstellation installiert sind:

Set-OrganizationConfig -EnableAuthAdminReadSession:$true

Sie können die letzte Laufzeit des AuthAdmin-Servicelets abfragen, indem Sie die folgenden PowerShell-Cmdlets ausführen:

[xml]$xml = Get-ExchangeDiagnosticInfo -Process "Microsoft.Exchange.ServiceHost"
$xml.Diagnostics.Components.AnchorApplication.AnchorServiceComponents.CacheScheduler.lastRunTime

Jede Ausführung des AuthAdmin-Servicelets wird im folgenden Verzeichnis protokolliert: <ExchangeInstallPath>\Logging\AuthAdminLogs

Das Servicelet generiert einen neuen Ereignisprotokolleintrag, wenn die Rotation des Authentifizierungszertifikats erfolgreich abgeschlossen wurde:

Log Name:      Application
Source:        MSExchange AuthAdmin
Date:          12/29/2022 5:56:13 AM
Event ID:      2014
Task Category: General
Level:         Information
Keywords:      Classic
User:          N/A
Description:   The current signing certificate for Exchange has been updated to certificate with thumbprint <NewExchangeCertificateThumbprint>.

Häufig gestellte Fragen

Frage: Muss der Hybridkonfigurations-Assistent (HCW) erneut ausgeführt werden, nachdem das Authentifizierungszertifikat ersetzt wurde?

Antwort: Ja, es wird dringend empfohlen, den Hybridkonfigurations-Assistenten (HCW) auszuführen, nachdem das aktive Authentifizierungszertifikat ersetzt wurde.

Frage: Wie gehe ich vor, wenn das neue Authentifizierungszertifikat auf einem Exchange-Server an einem anderen Active Directory-Standort (AD) fehlt?

Antwort: Sie können das Zertifikat mithilfe des Cmdlets Export-ExchangeCertificate exportieren und es über Import-ExchangeCertificate auf einem Server am anderen AD-Standort importieren. Das Zertifikat-Servicelet übernimmt die Replikation auf die verbleibenden Exchange-Server, die sich am AD-Standort befinden.