Nach der Installation eines Exchange 2013 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

• Server
• Server.domäne.local
• mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
• outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
• autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
• autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Öffnen Sie die Exchange Verwaltungskonsole

Klicken Sie unter „Server“ und „Zertifikate“ auf „+“ …

Erstellen Sie eine neue Anforderung für die Zertifizierungsstelle

Da wird nur nur eine Domäne haben, brauchen wir hier keine Stammdomäne eintragen.

Wählen Sie aus, auf welchen Exchange Servern die Zertifikatsanforderung gespeichert werden soll.

Bitte tragen Sie in die entsprechenden Felder die erforderlichen Daten ein.

Als Default Name empfehle ich Ihnen immer den internen Servernamen.

Allgemeine Informationen zu Ihrem Unternehmen…

Bitte wählen Sie einen entsprechenden Speicherort für die Zertifikatsanforderung aus. (Der Speicherort muss immer als UNC Pfad angegeben werden)

Bitte starten Sie den Browser und öffnen die URL der Zertifizierungsstelle. Wenn Sie intern noch keine Zertifizierungsstelle installiert haben, gehen Sie bitte folgendermaßen vor:
Installation Zertifizierungsstelle Windows Server 2008 -> https://www.msblog.eu/microsoft-zertifizierungsstelle-installieren/
Installation Zertifizierungsstelle Windows Server 2012 -> https://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/

Bitte wählen Sie erweiterte Zertifikatsanforderung aus..

Sie wollen eine bestehende Anforderung einsenden..

Bitte kopieren Sie den Inhalt von der .req Datei, welche Sie von der Exchange Console abgespeichert haben. Sie können die Datei mit einem Editor öffnen.
Als Zertifikatsvorlage wählen Sie bitte „Webserver“ aus und klicken auf „Einsenden“

Bestätigen Sie den Vorgang…

Laden Sie das Zertifikat herunter und speichern Sie in einen entsprechenden Pfad ab. (Dieser Pfad sollte wieder per UNC erreichbar sein)

Wechseln Sie wieder in die Exchange Verwaltungskonsole unter „Server“ und dann Zertifikate

Tragen Sie den entsprechenden Pfad für das Zertifikat ein, welches Sie von der Zertifizierungsstelle heruntergeladen haben und bestätigen Sie mit „OK“.

In Anschluss müssen wir den Zertifikat noch die entsprechenden Dienste zuweisen. Wählen Sie also das neue Zertifikat aus und klicken auf „bearbeiten“.

Wählen Sie hier bitte die entsprechenden Dienste aus, welche für das Zertifikat verwendet werden sollen.

Sollten Sie schon ein Zertifikat auf ein bestehenden Service hinterlegt haben, bestätigen Sie bitte, dass dieses nun ausgetauscht wird.

da ich im Zertifikat die Meldung hatte „… nicht vertrauenswürdidg“ und die Aufforderung hatte es im Speicher zu installieren, habe ich zunächst ewig nach dem Fehler gesucht.
Nach dem auch kein Neustart geholfen hat, habe ich das Zertifikat neu erstellt, gleicher Fehler.
Nach gpupdate /force ist das Zertifikat nun gültig und auch im Zertifikat ist der Hinweis nun weg.