SAN SSL-Zertifikate für Microsoft Exchange (Multi-Domain)

Kunden Meinungen

Best Practice: SSL-Zertfikate für Microsoft Exchange 2016 / 2019 / SE

Damit Ihr Microsoft Exchange Server zuverlässig mit Outlook, ActiveSync, Autodiscover und mobilen Geräten funktioniert, sollten SSL-Zertifikate immer nach folgenden Best Practices eingerichtet werden.

1. Empfohlener Zertifikatstyp

Für Exchange wird grundsätzlich ein SAN-Zertifikat (Subject Alternative Name) empfohlen.

Warum kein Wildcard als Hauptlösung?

• Wildcards funktionieren nicht für alle Exchange-Rollen (z.B. Autodiscover).
• SAN-Zertifikate erlauben präzise Domain-Angaben und mehrere Domains – auch über TLD-Grenzen hinweg.
• Exchange lässt sich damit kompatibler, stabiler und sicherer betreiben.

Empfehlung:

"SAN SSL-Zertifikat (Multi-Domain / MDC) mit mind. 2 SAN-Einträgen"

2. Die optimalen SAN-Einträge für Exchange

Für jede Exchange-Installation sollten mindestens diese SAN-Domains im Zertifikat enthalten sein:

Optional:

• owa.DOMAIN.TLD - für Outlook Web Access getrennt betrieben
• legacy.DOMAIN.TLD - für Migrationen
• smtp.DOMAIN.TLD - falls im SMTP-Banner gesetzt
• weitere Domains wie autodiscover.DOMAIN2.at , autodiscover.DOMAIN.ch , wenn mehrere Firmen per Exchange betreut werden

3. Common Name (CN) - was sollte rein?

Als Common Name wird empfohlen:

mail.DOMAIN.TLD

Warum?

• Dieser Hostname wird in den meisten Exchange-Konfigurationen als Outlook-Zugriffspunkt verwendet, da er leicht merkbar für die Mitarbeiter ist.
• Autodiscover wird automatisch über SAN-Einträge abgdeckt.

4. Minimalkonfiguration (Kleinbetriebe)

Für 90% aller Installationen reicht bereits:

CN=mail.DOMAIN.TLD
                            SAN=autodiscover.DOMAIN.TLD

Kostenminimal - aber vollständig kompatibel.

5. Multi-Domain / Multi-Tenant (z.B. mehrere Firmen)

Wenn der Exchange-Zugriff für mehrere Domains bereitstellt, gibt es 2 Möglichkeiten:

1. Pro zusätzlicher Domain:
   
   • autodiscover.DOMAIN2.TLD
   • Optional: mail.DOMAIN2.TLD

2. Wir selbst betreiben unseren Fritz Hosted Exchange mit über tausend Domains. Hier wäre ein SSL pro Domain unpraktikabel. Hier setzen wir die Exchange Autodiscover Methode ein: http://autodiscover.DOMAIN2.TLD wird aufgerufen und zu https://mail.DOMAIN.TLD/Autodiscover/autodiscover.xml weitergeleitet.

   Jede weitere Domain benötigt zwingend einen autodiscover DNS-Eintrag!
   z.B.
   

   autodiscover.DOMAIN2.TLD CNAME autodiscover.DOMAIN.TLD.

   Auf einem separaten Windows Webserver (z.B. Windows Webhosting) richtet man eine Webseite autodiscover.DOMAIN.TLD + autodiscover.DOMAIN2.TLD ein. Es empfiehlt sich das NICHT auf dem Exchange-Server zu machen!

   Es benötigt nur 1 Datei: web.config

                                       <?xml version="1.0" encoding="UTF-8"?>
                                       <configuration>
                                       <system.webServer>
                                       <httpRedirect enabled="true" destination="https://mail.DOMAIN.TLD/Autodiscover/autodiscover.xml" exactDestination="true" />
                                       </system.webServer>
                                       </configuration>

6. Empfehlungen zur Schlüssel- und Sicherheitsstärke

• RSA 2048 Bit ist Standard und voll kompatibel
• RSA 4096 Bit für besonders sicherheitskritische Umgebungen
• SHA-256 Hash
• Gültigkeit: 1 Jahr - Branchenstandard (Browser-Vorgaben)
• Einfache Erneuerung ist wichtig - am besten automatisiert oder über die Wiederverwendung des CSR

7. Bindungen und Protokolle in Exchange

Nach Installation des Zertifikats sollten Sie folgende Bindungen prüfen:

HTTPS:

• IIS
• OWA / ECP
• ActiveSync
• Outlook Anywhere (RPC/HTTP)
• MAPI/HTTP

SMTP:

• Frontend Transport
• Hub Transport (je nach Exchange-Version)

8. Typische Fehler, die vermieden werden sollten

Nur ein Wildcard *.DOMAIN.TLD ohne Autodiscover SAN
Outlook/Autodiscover funktioniert oft nicht sauber.

Zertifikat nur für www.DOMAIN.TLD bestellen
Exchange nutzt niemals "www".

Interne FQDNs wie server01.firma.local ins Zertifikat packen
Nicht nötig, oft sogar unsicher und ALLE SSL Domains (Common Name + SAN Domains) müssen jede für sich bei Beantragung überprüft werden! D.h. jede Domain muss z.B. via admin@DOMAIN E-Mails empfangen können. Nicht vergebene TLD z.B. .local Domain können daher generell nicht überprüft werden.

Empfehlung

→ "Für Exchange sollten Sie immer ein SAN-Zertifikat mit mindestens mail.DOMAIN.TLD und autodiscover.DOMAIN.TLD verwenden.

Als CN empfehlen wir mail.DOMAIN.TLD. Multi-Domains-Setups erfordern pro Domain mindestens autodiscover.DOMAIN2.TLD."

CSR für Microsoft Exchange erstellen

Auf dem Exchange Server

Um Ihren Certificate Signing Request (CSR) für mail.DOMAIN.TLD zu erstellen, öffnen Sie die Exchange Management Shell und geben Sie folgenden Befehl ein:

New-ExchangeCertificate `
                            -GenerateRequest `
                            -SubjectName "CN=mail.DOMAIN.TLD" `
                            -DomainName mail.DOMAIN.TLD,autodiscover.DOMAIN.TLD `
                            -KeySize 2048 `
                            -PrivateKeyExportable $true `
                            -Path "C:\Users\Public\Desktop\exchange_csr.req"

Danach

• Eröffnen Sie ein Konto bei uns: Als Kunde registrieren
• Klicken in unserer Kundenoberfläche auf "Meine Produkte" / SSL / Neu und filtern ggf. nach "SAN (MS Exchange)" / Fügen Sie dann den Inhalt der erstellten Datei hier ein. Ergänzen Sie bei SAN-Domains ggf. Ihre gewünschten weiterne SAN-Domains.
• Das fertige Zertifikat importieren Sie später wieder mit:
  

  Import-ExchangeCertificate –FileData ([Byte[]]$(Get-Content -Path C:\IhrZertifikat.p7b -Encoding byte))

Unsere Empfehlungen für Exchange SSL Zertifikate

Kurzfassung für Ihre schnelle Entscheidung

Empfehlung für 90% aller Exchange-Installationen

Sectigo PositiveSSL Multi‑Domain (DV) – inkl. 2 SAN

Bestes Preis-Leistungs-Verhältnis für Exchange

Ideal für:

• Single-Domain & Multi-Domain Exchange
• Autodiscover + Mail + OWA
• Unterschiedliche TLDs
• Hosting mehrerer Firmen / Mandanten

Stärken:

• Enthält 2 SAN (z.B. mail.domain.tld + autodiscover.domain.tld)
• Günstige SAN-Erweiterungspreise
• Unterstützt mehrere Domains und verschiedene TLDs
• Unterstützt Wildcard-SAN (z.B. *.firma.de)
• Ausstellung typischerweise in wenigen Minuten

Warum besonders für Exchange geeignet?
Hohe Flexibilität für SAN-Einträge, perfekte Kompatibilität mit Outlook, Mobile Devices & Autodiscover – und ein extrem attraktiver Preis.

Für maximale CA-Reputation und Unternehmenskunden

Thawte DV Multi-Domain Flex Zertifikate

Wenn Vertrauen, Markenwirkung und Kompatibilität absolute Priorität haben.

Ideal für:

• Unternehmensumgebungen, Behörden, größere Firmen
• Kunden mit hohen Anforderungen an CA-Ruf und Validierung
• Multi-Domain Exchange Installationen

Stärken:

• Hohe Vertrauenswürdigkeit der CA Thawte
• Sehr stabile OCSP und CRL-Infrastruktur
• Solide Kompatibilität auch mit älteren Endgeräten
• Empfehlenswert, wenn Exchange geschäftskritisch ist

Wann einsetzen?
Wenn ein etwas höherer Preis durch höheren Trust und durchgängig saubere Kompatibilität gerechtfertigt ist.

Für maximale Unternehmens-Compliance

Thawte EV Multi-Domain Flex Zertifikate

Höchste Identitätsvalidierung – für besonders sensible Branchen

Ideal für:

• Kanzleien, Steuerberater, medizinische Einrichtungen
• Unternehmen mit strenger Compliance
• Firmen, die eine Premium-CA bevorzugen

Stärken:

• Höchstmögliche Identitätsprüfung (EV)
• Zusätzliche Reputation & Vertrauenssymbolik
• Perfekt für Firmen, die SSL nicht nur als Technik, sondern als Vertrauensfaktor nutzen

Hinweis:
EV bringt keine technischen Vorteile für Exchange – aber viele Kunden schätzen die höhere CA-Glaubwürdigkeit und dokumentierte Identitätsprüfung.

Häufige Fragen SAN SSL Zertifikate

mail.DOMAIN.TLD
                                autodiscover.DOMAIN.TLD

CN: mail.DOMAIN1.TLD
                                SAN1: autodiscover.DOMAIN1.TLD
                                SAN2: *.DOMAIN2.TLD

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\IhrZertifikat.p7b -Encoding byte))

Noch Fragen?

Hier finden Sie unsere Fragen und Antworten zu allgemeinen Fragen zu SSL Zertifikaten. Gerne können Sie uns auch kontaktieren, wenn Sie noch Fragen haben.

^* Alle Preise verstehen sich netto. Netto-Preise sind auschließlich für Firmen / Gewerbetreibende gültig!. Alle Preise verstehen sich für die gesamte Laufzeit.
 
Die Abrechnung erfolgt einmalig im Voraus für die gewählte Vertragslaufzeit des Zertifikats. Der Vertrag verlängert sich nicht automatisch. Nach Ablauf der gewählten Vertragslaufzeit kann das gewünschte SSL-Zertifikat über unsere Kundenoberfläche verlängert bzw. neu beantragt werden.  
Aus technischen Gründen werden SSL-Zertifikate derzeit in Intervallen von maximal 200 Tagen ausgestellt. Wir kümmern uns für Sie automatisch um die erneute Ausstellung, sodass Ihr Zertifikat durchgehend über das gesamte Jahr gültig bleibt.