Exchange IMAP und POP Wildcard Zertifikat tauschen
Spätestens, wenn man sich mit einem Client via IMAP/POP mit dem Exchange Postfach verbinden möchte und die Fehlermeldung „Von dem Server, mit dem Sie verbunden sind, wird ein Sicherheitszertifikat verwendet, das nicht überprüft werden kann.“ zurückbekommt, weiß man, dass die Einstellungen für diese beiden Dienste nicht korrekt gesetzt worden sind. In diesem kurzen Howto wird erläutert, wie wir diese Fehlermeldung bereinigen können.
Für gewöhnlich sieht das Zuweisen eines Zertifikates in der Exchange Management Shell wie folgt aus:
Get-ExchangeCertificate -Thumbprint 632DC4D9B6DE60169C68F2CAFA10E838D2502EB5 | Enable-ExchangeCertificate -Services SMTP, IMAP, POP, IIS
Führt man dieses CMDLET aus, würde man davon ausgehen, dass in diesem Zuge auch gleich das Zertifikat für die Dienste IMAP und POP getauscht wird. Das ist allerdings nicht der Fall. Man bekommt folgende Warnung zurück:
WARNING: This certificate with thumbprint 632DC4D526DE60169C68F2CAFA10E838D2502EB5 and subject '*.schweigerstechblog.de' cannot used for POP SSL/TLS connections because the subject is not a Fully Qualified Domain Name (FQDN). Use commandSet-POPSettings to set X509CertificateName to the FQDN of the service.
Das liegt daran, dass man ein Wildcard Zertfikat nicht dem IMAP/POP Dienst zuweisen kann. Das Zertifikathandling passiert an dieser Stelle über den Parameter „X509CertificateName„. Damit das korrekte Zertifikat ausgeliefert werden kann, müssen folgende zwei Befehle auf allen Exchange Nodes ausgeführt werden:
Set-POPSettings -X509CertificateName exchange.schweigerstechblog.de Set-IMAPSettings -X509CertificateName exchange.schweigerstechblog.de
Anschließend müssen die Microsoft Exchange POP und IMAP Dienste neugestartet werden:
Restart-service MSExchangeIMAP4 Restart-service MSExchangePOP3
Ansonsten kann ich auch an dieser Stelle den Microsoft Docs Artikel wärmstens empfehlen: Assign certificates to Exchange Server services
Hallo Kevin,
vielen Dank für den Artikel. Es fehlt aber ein Leerzeichen vor -X509:
Set-POPSettings -X509CertificateName exchange.schweigerstechblog.de
Set-IMAPSettings -X509CertificateName exchange.schweigerstechblog.de
Hallo Thorsten,
danke für den Hinweis, wurde soeben korrigiert.