SSL-certifikatens maximala livslängd reduceras till 200 dagar från mars 2026. Läs mer →

SSL-certifikat

Billigt SSL DV SSL Wildcard SSL Multi-Domain (SAN) OV & EV SSL

Specialcertifikat

Code Signing Document Signing E-post / S/MIME VMC / BIMI
Pågår nu Certifikatlivslängd

Automatisering

Översikt Auto DNS FairSSL vs Let's Encrypt

Plattformar

Windows-konfiguration Linux & Kubernetes Appliances ACME-klienter

Verktyg

SSL Scanner Certifikat Decoder CAA Generator

Guider

Windows Server Linux & Open Source Alla guider

Företag

Om oss Kontakt Installationsservice
Nyheter

Språk

Dansk Svenska English

Valuta

Logga in Skapa Konto
Exchange Advanced ~4 min. lästid

Exchange Server: ACME-automation med simple-acme

Automatisk förnyelse av SSL-certifikat på Exchange Server med ACME-klienten simple-acme. Täcker Exchange 2013, 2016 och 2019.

Exchange Server: ACME-automation med simple-acme

Denna guide visar hur du konfigurerar automatisk förnyelse av SSL-certifikat på Exchange Server med simple-acme – så att du aldrig mer behöver oroa dig för att manuellt förnya, installera eller aktivera certifikat.

Varför ACME på Exchange?

  • Automatisk förnyelse – certifikaten förnyas och installeras utan manuell hantering
  • Ingen CSR – ACME-protokollet hanterar nyckelgenerering och certifikatutfärdande automatiskt
  • Ingen nedtid – certifikatet binds automatiskt till IIS, SMTP, IMAP och POP
  • Färre fel – ingen risk för utgångna certifikat som stoppar mejlflödet

Förutsättningar

  • Exchange Server 2013, 2016 eller 2019
  • Windows Server med administratörsbehörighet
  • DNS-namn (t.ex. mail.eksempel.dk, autodiscover.eksempel.dk) som pekar på servern
  • Ett ACME-konto hos en CA (t.ex. Let's Encrypt eller FairSSL)

Steg 1 – Ladda ner och installera simple-acme

Ladda ner simple-acme från simple-acme.com och packa upp till C:\simple-acme eller %ProgramFiles%\simple-acme.

Steg 2 – Välj domänvalidering

ACME-protokollet kräver att du bevisar kontroll över domänen. Det finns två metoder:

HTTP-01 validering

CA:n verifierar domänen genom att hämta en fil från din webbserver via HTTP port 80.

  • Krav: Port 80 måste vara öppen och tillgänglig från internet
  • Fördel: Enkelt att konfigurera – simple-acme hanterar det automatiskt via IIS
  • Nackdel: Fungerar inte med wildcard-certifikat eller servrar bakom brandvägg/load balancer

Använd parametern --validation selfhosting i simple-acme-kommandot.

DNS-01 validering

CA:n verifierar domänen genom att kontrollera en TXT-post i DNS.

  • Krav: API-åtkomst till din DNS-leverantör (t.ex. Cloudflare, Azure DNS, Route53)
  • Fördel: Fungerar bakom brandvägg, med load balancers och med wildcard-certifikat
  • Nackdel: Kräver DNS API-integration

Använd parametern --validation dns-01 med relevant DNS-plugin.

FairSSL-kunder: Domänvalidering hanteras automatiskt med FairSSL Auto-DNS. Du behöver inte konfigurera HTTP-01 eller DNS-01 – använd bara --validation none i simple-acme-kommandot. Auto-DNS skapar DNS-poster automatiskt via en engångs CNAME-delegering.

Steg 3 – Installera certifikatet med simple-acme

Öppna Exchange Management Shell som administratör och navigera till mappen för simple-acme.

Kör följande kommando (anpassa domännamn och validering till din miljö):

Med Let's Encrypt (gratis DV-certifikat)

wacs.exe --source manual --host "mail.eksempel.dk,autodiscover.eksempel.dk" --csr rsa --validation selfhosting --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --script "./Scripts/ImportExchange.v2.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP,POP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'" --friendlyname "mail.eksempel.dk" --accepttos

Ersätt --validation selfhosting med --validation dns-01 --dnsPlugin cloudflare (eller din DNS-leverantör) om du använder DNS-validering.

Med FairSSL ACME (OV/DV-certifikat)

wacs.exe --baseuri "https://fairssl.dk/acme" --eab-key-identifier DIN_EAB_KID --eab-key DIN_EAB_HMAC --source manual --host "mail.eksempel.dk,autodiscover.eksempel.dk" --csr rsa --validation none --certificatestore My --acl-fullcontrol "network service,administrators" --installation iis,script --script "./Scripts/ImportExchange.v2.ps1" --scriptparameters "'{CertThumbprint}' 'IIS,SMTP,IMAP,POP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'" --friendlyname "mail.eksempel.dk" --accepttos

EAB KID och HMAC-nyckel hämtar du från din kontrollpanel hos FairSSL när du beställer ett ACME-certifikat.

Parameteröversikt

ParameterBeskrivning
--baseuriACME-serverns URL (utelämna för Let's Encrypt)
--eab-key-identifier / --eab-keyExternal Account Binding – krävs för FairSSL, inte för Let's Encrypt
--source manualAnge domännamn manuellt
--hostKommaseparerad lista över domäner
--validationselfhosting (HTTP-01), dns-01 (DNS), eller none (FairSSL Auto-DNS)
--installation iis,scriptInstallera i IIS + kör Exchange-skript
--scriptPowerShell-skript som aktiverar certifikatet i Exchange
--scriptparametersTjänster som ska aktiveras: IIS, SMTP, IMAP, POP
--friendlynameValfritt namn för certifikatet i Windows Certificate Store

Steg 4 – Bekräfta Exchange-tjänster

Kör följande i Exchange Management Shell för att verifiera att certifikatet är aktiverat:

Get-ExchangeCertificate

Det nya certifikatet ska visa IPWS (eller motsvarande) under kolumnen Services – detta betyder att IIS, POP, Web och SMTP är aktiverade.

Get-WebBinding

Bekräfta att Default Web Site använder det nya certifikatet.

Steg 5 – Bekräfta IIS-bindningar

Öppna IIS Manager och kontrollera:

  • Default Web Site ska använda det nya ACME-certifikatet
  • Exchange Back End ska fortsätta använda det interna Exchange-certifikatet (oftast kallat "Microsoft Exchange")

Varningar

Exchange internt certifikat: Exchange kräver ett giltigt internt certifikat för webbplatsen "Exchange Back End". Detta certifikat heter oftast "Microsoft Exchange" och skapas under installationen av Exchange. Se till att hålla det uppdaterat separat – ACME-certifikatet ersätter inte detta.
Wildcard-certifikat: Exchange kan använda ett wildcard-certifikat för OWA och EWS, men det används inte för SMTP, IMAP eller POP om inte det specifika FQDN-namnet också finns med i certifikatets SAN-lista. Om du använder wildcard, lägg även till de explicita namnen (t.ex. --host "*.eksempel.dk,mail.eksempel.dk,autodiscover.eksempel.dk").

Felsökning

  • Certifikatet installeras men tjänsterna fungerar inte: Kontrollera att ImportExchange.v2.ps1-skriptet körs korrekt. Kör Get-ExchangeCertificate för att se om tjänsterna är aktiverade.
  • HTTP-01 validering misslyckas: Port 80 är sannolikt blockerad i brandväggen. Använd DNS-01 eller FairSSL Auto-DNS istället.
  • Förnyelsen misslyckas tyst: Kontrollera loggfilerna i mappen för simple-acme. Kör wacs.exe --renew --force manuellt för att testa.

FairSSL ACME-certifikat för Exchange

Med FairSSL får du ACME-automation med kommersiella certifikat från DigiCert, GlobalSign och Sectigo – inklusive OV-validering med företagsnamn i certifikatet.

SAN-certifikat (mail + autodiscover)från 1 000 kr/år
Wildcard-certifikatfrån 1 100 kr/år
Installationsservice500 kr (vi konfigurerar allt via TeamViewer)

Läs mer om SSL-automatisering · Auto-DNS validering · ACME-klienter · Installationsservice

Tips: Använd flaggan --verbose för detaljerad felsökning: 
wacs.exe --verbose
Gratis support: FairSSL-kunder som använder vår ACME-lösning med Auto DNS får gratis support för installation och felsökning. Kontakta oss via telefon eller e-post.

Förbättra din TLS-säkerhet

Använd IIS Crypto för att enkelt konfigurera säkra TLS-protokoll och cipher suites på din Windows Server.

IIS Crypto TLS-konfigurationsguide
Tillbaka till guider

Redo att skapa ett gratis konto?

Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.

Skapa gratis konto Jämför certifikat