Auf einem Exchange-Server 2010 erscheint alle 20 Minuten im Eventlog der Fehler 12014 („Microsoft Exchange could not find a certificate that contains the domain name xxx.yyy.de in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector …„). Der angemahnte Name (xxx.yyy.de) steht im Send Connector im Feld „Specify the FQDN this connector will provide in response to HELO or EHLO“ und fehlt in dem bei der Installation des Exchange-Servers automatisch erzeugten Zertifikat.

Zuerst muß in der lokalen Domäne eine Windows-CA (Certificate Authority, Zertifizierungsstelle) vorhanden sein und das dazugehörige Root-Zertifikat in die „Trusted Root Certification Authorities“auf dem Exchange-Server importiert sein. Wie man eine solche CA installiert und bedient habe ich in einem älteren Posting (dort allerdings für ein IIS- und nicht ein Exchange-Zertifikat) erklärt.

Mit dem Assistenten „New Exchange Certificate…“ in der Exchange Management Console (EMC) bei „Server Configuration“ kann man sehr einfach (wie z.B. hier beschrieben) ein Certificate Request erzeugen. Dabei ist darauf zu achten, daß (mindestens) die folgenden DNS-Namen in dem Certificate Request enthalten sind:

• servername
• servername.domain.local
• servername.domain.de und/oder owa.domain.de und/oder mail.domain.de …
• autodiscover.domain.local
• autodiscover.domain.de (wenn verwendet)

Mit diesem Certificate Request kann dann mit der CA in ein Zertifikat erzeugt werden, wobei unbedingt das Certificate Template „Webserver“ und nicht wie als Default vorgeschlagen „Administrator“ gewählt werden muß!

Dieses Zertifikat kann dann einfach mit der EMC und dem Assistenten „Complete Pending Request…“ importiert werden und anschließend mit dem Assistenten „Assign Services to Certificate…“ alle Dienste bis auf „Unified Messaging (UM)“ zugewiesen bekommen.