Unterstützung von Platzhalterzertifikaten
Letztes Änderungsdatum des Themas: 2012-10-18
In Microsoft Lync Server 2010 werden Zertifikate für die Verschlüsselung der Kommunikation und die Authentifizierung der Serveridentität verwendet. In manchen Fällen, z. B. bei Webveröffentlichung über den Reverseproxy, muss der Eintrag des alternativen Antragstellernamens (Subject Alternative Name, SAN) nicht genau mit dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers, der den Dienst anbietet, übereinstimmen. In diesen Fällen können Sie Zertifikate mit Platzhalter-SAN-Einträgen (so genannte "Platzhalterzertifikate") verwenden, um die Kosten eines Zertifikats von einer öffentlichen Zertifizierungsstelle und die Komplexität der Planung für Zertifikate zu reduzieren.
.gif "warning") Warnung: |
|---|
| Um die Funktionalität von Unified Communications-Geräten (UC) wie z. B. Tischtelefonen aufrechtzuerhalten, sollten Sie das bereitgestellte Zertifikat sorgfältig testen, um sicherzustellen, dass die Geräte nach der Implementierung eines Platzhalterzertifikats ordnungsgemäß funktionsfähig sind. |
Ein Platzhaltereintrag als Antragstellername (auch als "allgemeiner Name" (Common Name, CN) bezeichnet) wird für keine Rolle unterstützt. Für die folgenden Serverrollen wird die Verwendung von Platzhaltereinträgen im SAN unterstützt:
Reverseproxy. Platzhalter-SAN-Eintrag wird für Herausgeberzertifikat mit einfacher URL unterstützt.
Director. Platzhalter-SAN-Eintrag wird für einfache URLs in Directorwebkomponenten unterstützt.
Front-End-Server (Standard Edition) und Front-End-Pool (Enterprise Edition). Platzhalter-SAN-Eintrag wird für einfache URLs in Front-End-Webkomponenten unterstützt.
Exchange Unified Messaging (UM). Der Server verwendet keine SAN-Einträge, wenn er als eigenständiger Server bereitgestellt wurde.
Microsoft Exchange Server Clientzugriffsserver. Platzhaltereinträge im SAN werden für interne und externe Clients unterstützt.
Exchange Unified Messaging (UM) und Microsoft Exchange Server Clientzugriffsserver auf demselben Server. Platzhalter-SAN-Einträge werden unterstützt.
In diesem Thema nicht behandelte Serverrollen:
Interne Serverrollen (u. a. Vermittlungsserver, Archivierungs- und Monitoring Server, Survivable Branch Appliance oder Survivable Branch Server)
Externe Edgeserver-Schnittstellen
Interner Edgeserver
.gif "note")
Hinweis:Für die interne Edgeserver-Schnittstelle kann dem SAN ein Platzhaltereintrag zugewiesen werden und wird unterstützt. Der SAN für den internen Edgeserver wird nicht abgefragt. Ein Platzhalter-SAN-Eintrag ist somit wertlos.
Als Beschreibung der Verwendungsmöglichkeiten für Platzhalterzertifikate wird hier aus Konsistenzgründen die Zertifikatanleitung für die Referenzarchitekturen in der Planungsdokumentation wiederholt. Ausführliche Informationen finden Sie unter Referenzarchitektur. Wie erwähnt sind UC-Geräte von der strikten Namensübereinstimmung abhängig. Wenn ein Platzhalter-SAN-Eintrag vor dem FQDN-Eintrag präsentiert wird, tritt ein Fehler bei der Authentifizierung auf. Durch Beachtung der Reihenfolge in den folgenden Tabellen können Sie die möglichen Probleme mit einem UC-Gerät und Platzhaltereinträgen im SAN beschränken.
Konfigurationen von Platzhalterzertifikaten für Lync Server 2010
| Komponente | Antragstellername | SAN-Einträge/Reihenfolge | Zertifizierungsstelle | Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) | Kommentare |
|---|---|---|---|---|---|
Reverseproxy |
lsrp.contoso.com |
lsweb-ext.contoso.com *.contoso.com |
Öffentlich |
Server |
Adressbuchdienst, Verteilergruppenerweiterung und Lync-IP-Geräteveröffentlichungsregeln. Alternative Antragstellernamen: Externer FQDN der Webdienste Der Platzhalter ersetzt die SAN "Meet" und "Dialin", wobei für die einfachen URLs "Meet" und "Dialin" folgende Formate verwendet werden: <FQDN>/meet <FQDN>/dialin ODER meet.<FQDN> dialin.<FQDN> |
Director |
dirpool01.contoso.net |
sip.contoso.com sip.fabrikam.com dirweb.contoso.net dirweb-ext.contoso.com <Hostname>.contoso.net, beispielsweise entspricht <Hostname> für einen Director in einem Pool dem Wert "director01" dirpool.contoso.net *.contoso.com |
Privat |
Server |
Zuweisung zu den folgenden Servern und Rollen im Director-Pool: Jedem Director im Pool oder dem eigenständigen Director, wenn kein Director-Pool bereitgestellt wird. Der Platzhalter ersetzt die SAN "Meet" und "Dialin", wobei für die einfachen URLs "Meet" und "Dialin" folgende Formate verwendet werden: <FQDN>/admin <FQDN>/meet <FQDN>/dialin ODER admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Front-End der Enterprise Edition |
pool01.contoso.net (Für einen Pool mit Lastenausgleich) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com <Hostname>.contoso.net, beispielsweise entspricht <Hostname> für einen Front-End-Server in einem Pool dem Wert "fe01" pool01.contoso.net *.contoso.com |
Privat |
Server |
Zuweisung zu den folgenden Servern und Rollen im Pool für den nächsten Hop: Front-End in Pool01 Der Platzhalter ersetzt die SAN "Meet" und "Dialin", wobei für die einfachen URLs "Meet" und "Dialin" folgende Formate verwendet werden: <FQDN>/admin <FQDN>/meet <FQDN>/dialin ODER admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Front-End der Standard Edition |
se01.contoso.net |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net lsweb-ext.contoso.com se01.contoso.net *.contoso.com |
Privat |
Server |
Zuweisung zu den folgenden Servern und Rollen im Pool für den nächsten Hop: Der Platzhalter ersetzt die SAN "Meet" und "Dialin", wobei für die einfachen URLs "Meet" und "Dialin" folgende Formate verwendet werden: <FQDN>/admin <FQDN>/meet <FQDN>/dialin ODER admin.<FQDN> meet.<FQDN> dialin.<FQDN> |
Microsoft Exchange Server 2007 und Exchange Server 2010
Wenn Sie Microsoft Exchange Server installieren und konfigurieren, werden selbstsignierte Zertifikate erstellt und implementiert. Wenn Sie dem Server ein Zertifikat von einer Zertifizierungsstelle hinzufügen, sollten Sie das selbstsignierte Zertifikat nicht löschen, bis Sie alle Dienste und Webdienste für die erfolgreiche Verwendung des neuen Zertifikats konfiguriert haben. Sollte etwas nicht ordnungsgemäß funktionieren, ist dann das selbstsignierte Zertifikat noch verfügbar, und Sie können die ursprünglichen Einstellungen erneut konfigurieren und die ursprünglichen Funktionen wiederherstellen, auch wenn das selbstsignierte Zertifikat nicht alle benötigten Features zulässt. Dies verschafft Ihnen Zeit, um die Konfigurationen aufzulösen, ohne dass alle Produktionsfunktionen betroffen sind.
Ausführliche Informationen zur Verwendung von Zertifikaten in Exchange finden Sie hier:
Grundlegendes zu digitalen Zertifikaten und SSL: https://go.microsoft.com/fwlink/?linkid=218233&clcid=0x407
Grundlegendes zu Namespaces für Clientzugriffsserver: https://go.microsoft.com/fwlink/?linkid=218234&clcid=0x407
Grundlegendes zum AutoErmittlungsdienst: https://go.microsoft.com/fwlink/?linkid=217012&clcid=0x407
Für die Bereitstellung von Microsoft Exchange Server mit dem Exchange Unified Messaging (UM)- und dem Exchange-Clientzugriffsserver gibt es vier mögliche Bereitstellungsszenarien:
**Szenario 1:**Exchange Unified Messaging (UM)- und Exchange-Clientzugriffsserver werden auf unterschiedlichen Servern bereitgestellt, und der Clientzugriffsserver bietet Internetzugriff.
**Szenario 2:**Exchange Unified Messaging (UM)- und Exchange-Clientzugriffsserver werden auf demselben Server ausgeführt und bieten Internetzugriff.
**Szenario 3:**Exchange Unified Messaging (UM)- und Exchange-Clientzugriffsserver werden auf unterschiedlichen Servern mit einem Reverseproxy zur Veröffentlichung bereitgestellt.
**Szenario 4:**Exchange Unified Messaging (UM)- und Exchange-Clientzugriffsserver werden auf demselben Server mit einem Reverseproxy zur Veröffentlichung ausgeführt.
Szenario 1: Exchange Unified Messaging (UM)- & Exchange-Clientzugriffsserver auf unterschiedlichen Servern bereitgestellt (Clientzugriffsserver mit Internetzugriff)
| Microsoft Exchange-Komponente | Antragstellername | SAN-Einträge/Reihenfolge | Zertifizierungsstelle | Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) | Kommentare |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) Servername: exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM-Rolle sollte keinen SAN-Eintrag enthalten |
Privat |
Server |
Der Exchange UM-Server kommuniziert nur mit internen Clients und Servern. Importieren Sie das private Stammzertifikat der Zertifizierungsstelle auf jedem Exchange UM-Server. Erstellen Sie für jeden Exchange UM-Server ein eindeutiges Zertifikat, und weisen Sie es zu. Der Antragstellername muss mit dem Servernamen übereinstimmen. Sie müssen TLS (Transport Layer Security) auf dem Exchange UM-Server aktivieren, bevor Sie der Exchange UM-Rolle ein Zertifikat zuweisen können. Weisen Sie dieses Zertifikat zur Integration mit Outlook Web Access und Instant Messaging (Sofortnachrichten) für die Verwendung auf dem Exchange-Clientzugriffsserver zu. |
Exchange-Clientzugriffsserver Im Internet zugänglicher Clientzugriffsserver des Active Directory-Standorts Servername: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Öffentlich |
Server |
Antragstellername und SAN-Eintrag müssen übereinstimmen, um externe UC-Geräte zu unterstützen. Der Antragstellername und SAN-Eintrag "mail.contoso.com" ist ein Beispielname, mit dem auf Outlook Web Access, Outlook Anywhere, EWS und das Offlineadressbuch verwiesen wird. Die einzigen Anforderungen sind, dass der Eintrag mit einem DNS-Eintrag übereinstimmen muss und dass auf ExternalURL und andere Diensteinträge über den angegebenen Namen verwiesen werden kann. Der SAN-Eintrag für autodiscover ist für die Unterstützung externer UC-Geräte erforderlich. |
Exchange-Clientzugriffsserver Nicht im Internet zugänglicher Clientzugriffsserver des Active Directory-Standorts Servername: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privat |
Server |
Der nicht im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts kommuniziert nur mit internen Clients und Servern. Der im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts fungiert als Proxy für die Kommunikation mit diesem Clientzugriffsserver, wenn die Anforderung von einem Benutzer oder Dienst stammt, der Dienste (z. B. Postfach) anfordert, die an diesem Active Directory-Standort gehostet werden. EWS und Offlineadressbuchdienste an dem nicht im Internet zugänglichen Active Directory-Standort werden für die Verwendung des bereitgestellten Zertifikats konfiguriert. Dieses Zertifikat kann von der internen privaten Zertifizierungsstelle stammen. Das Stammzertifikat für die private Zertifizierungsstelle muss in den Speicher Vertrauenswürdige Stammzertifikate von Drittanbietern auf dem im Internet zugänglichen Clientzugriffsserver für den Active Directory-Standort importiert werden. |
Szenario 2: Exchange Unified Messaging (UM)- & Exchange-Clientzugriffsserver auf demselben Server ausgeführt (mit Internetzugriff)
| Microsoft Exchange-Komponente | Antragstellername | SAN-Einträge/Reihenfolge | Zertifizierungsstelle | Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) | Kommentare |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) Servername: exchcas01.contoso.com |
exchcas01.contoso.com |
Exchange UM-Rolle sollte keinen SAN-Eintrag enthalten |
Privat |
Server |
Der Exchange UM-Server kommuniziert nur mit internen Clients und Servern. Importieren Sie das private Stammzertifikat der Zertifizierungsstelle auf jedem Exchange UM-Server. Sie müssen TLS auf dem Exchange UM-Server aktivieren, bevor Sie der Exchange UM-Rolle ein Zertifikat zuweisen können. Weisen Sie dieses Zertifikat zur Integration mit Outlook Web Access und Sofortnachrichten für die Verwendung auf dem Clientzugriffsserver zu. |
Exchange-Clientzugriffsserver und Im Internet zugänglicher Clientzugriffsserver des Active Directory-Standorts Servername: exchcas01.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Öffentlich |
Server |
Antragstellername und SAN-Eintrag müssen übereinstimmen, um externe UC-Geräte zu unterstützen. Der Antragstellername und SAN-Eintrag "mail.contoso.com" ist ein Beispielname, mit dem auf Outlook Web Access, Outlook Anywhere, EWS und das Offlineadressbuch verwiesen wird. Die einzigen Anforderungen sind, dass der Eintrag mit einem DNS-Eintrag übereinstimmen muss und dass auf ExternalURL und andere Diensteinträge über den angegebenen Namen verwiesen werden kann. Der SAN-Eintrag für autodiscover.<Domänennamespace> ist für die Unterstützung externer UC-Geräte erforderlich. |
Exchange-Clientzugriffsserver Nicht im Internet zugänglicher Clientzugriffsserver des Active Directory-Standorts Servername: internalcas01.contoso.net |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privat |
Server |
Der nicht im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts kommuniziert nur mit internen Clients und Servern. Der im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts fungiert als Proxy für die Kommunikation mit diesem Clientzugriffsserver, wenn die Anforderung von einem Benutzer oder Dienst stammt, der Dienste (z. B. Postfach) anfordert, die an diesem Active Directory-Standort gehostet werden. Exchange Web Services und Offlineadressbuchdienste an dem nicht im Internet zugänglichen Active Directory-Standort werden für die Verwendung des bereitgestellten Zertifikats konfiguriert. Dieses Zertifikat kann von der internen privaten Zertifizierungsstelle stammen. Das Stammzertifikat für die private Zertifizierungsstelle muss in den Speicher für vertrauenswürdige Stammzertifikate von Drittanbietern auf dem im Internet zugänglichen Clientzugriffsserver für den Active Directory-Standort importiert werden. |
Szenario 3: Exchange Unified Messaging (UM)/Exchange-Clientzugriffsserver auf unterschiedlichen Servern mit Reverseproxy zur Veröffentlichung bereitgestellt
| Microsoft Exchange-Komponente | Antragstellername | SAN-Einträge/Reihenfolge | Zertifizierungsstelle | Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) | Kommentare |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) Servername: exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM-Rolle sollte keinen SAN-Eintrag enthalten |
Privat |
Server |
Der Exchange UM-Server kommuniziert nur mit internen Clients und Servern. Importieren Sie das private Stammzertifikat der Zertifizierungsstelle auf jedem Exchange UM-Server. Erstellen Sie für jeden Exchange UM-Server ein eindeutiges Zertifikat, und weisen Sie es zu. Der Antragstellername muss mit dem Servernamen übereinstimmen. Sie müssen TLS auf dem Exchange UM-Server aktivieren, bevor Sie der Exchange UM-Rolle ein Zertifikat zuweisen können. Weisen Sie dieses Zertifikat zur Integration mit Outlook Web Access und Sofortnachrichten für die Verwendung auf dem Clientzugriffsserver zu. |
Exchange-Clientzugriffsserver Servername: exchcas01.contoso.com |
exchcas01.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privat |
Server |
Antragstellername und SAN-Eintrag müssen übereinstimmen, um externe UC-Geräte zu unterstützen. Importieren Sie das private Stammzertifikat der Zertifizierungsstelle auf jedem Exchange-Clientzugriffsserver. Der Antragstellername und SAN-Eintrag "mail.contoso.com" ist ein Beispielname, mit dem auf Outlook Web Access, Outlook Anywhere, EWS und das Offlineadressbuch verwiesen wird. Die einzigen Anforderungen sind, dass der Eintrag mit einem DNS-Eintrag übereinstimmen muss und dass auf ExternalURL und andere Diensteinträge über den angegebenen Namen verwiesen werden kann. Der SAN-Eintrag für autodiscover ist für die Unterstützung externer UC-Geräte erforderlich. Der Eintrag für den Computernamen (im Beispiel "exchcas01.contoso.com") ist für die Integration mit Outlook Web Access und Sofortnachrichten erforderlich. |
Reverseproxy Servername : rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Öffentlich |
Server |
Ein übereinstimmender Eintrag für den Antragstellernamen muss auch im SAN des Zertifikats vorhanden sein. Das Beenden von TLS oder SSL auf dem Reverseproxy und anschließende erneute Einrichten von TLS oder SSL auf dem Clientzugriffsserver verursacht Fehler auf UC-Geräten. Als ein Feature einiger Produkte wie Microsoft Internet Security and Acceleration (ISA) Server und Microsoft Forefront Threat Management Gateway sowie anderer Implementierungen von Drittanbietern kann die TLS- oder SSL-Beendigung nicht verwendet werden, wenn UC-Geräte unterstützt werden sollen. Der SAN-Eintrag für autodiscover muss vorhanden sein, damit UC-Geräte ordnungsgemäß funktionieren. |
Exchange-Clientzugriffsserver Nicht im Internet zugänglicher Clientzugriffsserver des Active Directory-Standorts Servername: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privat |
Server |
Der nicht im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts kommuniziert nur mit internen Clients und Servern. Der im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts fungiert als Proxy für die Kommunikation mit diesem Clientzugriffsserver, wenn die Anforderung von einem Benutzer oder Dienst stammt, der Dienste (z. B. Postfach) anfordert, die an diesem Active Directory-Standort gehostet werden. Exchange Web Services und Offlineadressbuchdienste an dem nicht im Internet zugänglichen Active Directory-Standort werden für die Verwendung des bereitgestellten Zertifikats konfiguriert. Dieses Zertifikat kann von der internen privaten Zertifizierungsstelle stammen. Das Stammzertifikat für die private Zertifizierungsstelle muss in den Speicher für vertrauenswürdige Stammzertifikate von Drittanbietern auf dem im Internet zugänglichen Clientzugriffsserver für den Active Directory-Standort importiert werden. |
Szenario 4: Exchange Unified Messaging (UM)/Exchange-Clientzugriffsserver auf demselben Server mit Reverseproxy zur Veröffentlichung ausgeführt
| Microsoft Exchange-Komponente | Antragstellername | SAN-Einträge/Reihenfolge | Zertifizierungsstelle | Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) | Kommentare |
|---|---|---|---|---|---|
Exchange Unified Messaging (UM) Servername: exchum01.contoso.com |
exchum01.contoso.com |
Exchange UM-Rolle sollte keinen SAN-Eintrag enthalten |
Privat |
Server |
Der Exchange UM-Server kommuniziert nur mit internen Clients und Servern. Importieren Sie das private Stammzertifikat der Zertifizierungsstelle auf jedem Exchange UM-Server. Erstellen Sie für jeden Exchange UM-Server ein eindeutiges Zertifikat, und weisen Sie es zu. Der Antragstellername muss mit dem Servernamen übereinstimmen. SAN ist nicht erforderlich. Sie müssen TLS auf dem Exchange UM-Server aktivieren, bevor Sie der Exchange UM-Rolle ein Zertifikat zuweisen können. |
Exchange-Clientzugriffsserver Exchange Unified Messaging (UM) Servername: exchcas01.contoso.com |
mail.contoso.com |
exchcas01.contoso.com mail.contoso.com autodiscover.contoso.com *.contoso.com |
Privat |
Server |
Antragstellername und SAN-Eintrag müssen übereinstimmen, um externe UC-Geräte zu unterstützen. Importieren Sie das private Stammzertifikat der Zertifizierungsstelle auf jedem Exchange-Clientzugriffsserver. Der Antragstellername und SAN-Eintrag "mail.contoso.com" ist ein Beispielname, mit dem auf Outlook Web Access, Outlook Anywhere, EWS und das Offlineadressbuch verwiesen wird. Die einzigen Anforderungen sind, dass der Eintrag mit einem DNS-Eintrag übereinstimmen muss und dass auf ExternalURL und andere Diensteinträge über den angegebenen Namen verwiesen werden kann. Der SAN-Eintrag für autodiscover ist für die Unterstützung externer UC-Geräte erforderlich. Der Eintrag für den Computernamen (im Beispiel "exchcas01.contoso.com") ist für die Integration mit Outlook Web Access und Sofortnachrichten erforderlich. |
Reverseproxy Servername : rp.contoso.com |
mail.contoso.com |
mail.contoso.com autodiscover.contoso.com *.contoso.com |
Öffentlich |
Server |
Ein übereinstimmender Eintrag für den Antragstellernamen muss auch im SAN des Zertifikats vorhanden sein. Das Beenden von TLS oder SSL auf dem Reverseproxy und anschließende erneute Einrichten von TLS oder SSL auf dem Clientzugriffsserver verursacht Fehler auf UC-Geräten. Als ein Feature einiger Produkte wie ISA Server und Forefront Threat Management Gateway (TMG) sowie anderer Implementierungen von Drittanbietern kann die TLS- oder SSL-Beendigung nicht verwendet werden, wenn UC-Geräte unterstützt werden sollen. Der SAN-Eintrag für autodiscover muss vorhanden sein, damit UC-Geräte ordnungsgemäß funktionieren. |
Exchange-Clientzugriffsserver Nicht im Internet zugänglicher Clientzugriffsserver des Active Directory-Standorts Servername: internalcas01.contoso.com |
internalcas01.contoso.com |
internalcas01.contoso.com *.contoso.com |
Privat |
Server |
Der nicht im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts kommuniziert nur mit internen Clients und Servern. Der im Internet zugängliche Clientzugriffsserver des Active Directory-Standorts fungiert als Proxy für die Kommunikation mit diesem Clientzugriffsserver, wenn die Anforderung von einem Benutzer oder Dienst stammt, der Dienste (z. B. Postfach) anfordert, die an diesem Active Directory-Standort gehostet werden. Exchange Web Services und Offlineadressbuchdienste an dem nicht im Internet zugänglichen Active Directory-Standort werden für die Verwendung des bereitgestellten Zertifikats konfiguriert. Dieses Zertifikat kann von der internen privaten Zertifizierungsstelle stammen. Das Stammzertifikat für die private Zertifizierungsstelle muss in den Speicher Vertrauenswürdige Stammzertifikate von Drittanbietern auf dem im Internet zugänglichen Clientzugriffsserver für den Active Directory-Standort importiert werden. |