none
Exchange 2007 Zertifikate erneuern RRS feed

  • Frage

  • Hallo Forum,

    nach mehreren Stunden Suche wende ich mich jetzt doch mal mit meiner Frage an Euch.

    Folgende Situation:
    Seit kurzem liefern zwei Zertifikate auf unserem Exchange 2007 (unter SBS 2008 64 Bit) die Meldung, dass sie bald auslaufen. Es sind selbstsignierte Zertifikate, die durch neu erstellte selbstsignierte Zertifikate ersetzt werden sollen.

    Die beiden Meldungen im Event-Log:
    > Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck:
    > 8D5757685C9E0D29DB36D4154ED87516351C581A, verbleibende Stunden: 653.

    > Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: remote.aur.local, verbleibende Stunden:
    > B297277FB229FEBA3658CB19F5EDF5C9D6798411. Führen Sie das Cmdlet
    > "New-ExchangeCertificate" aus, um eine neues Zertifikat zu erstellen.


    Die detaillierten Angaben zu den beiden Zertifikaten lauten:

    AccessRules: {System.Security.AccessControl.CryptoKeyAccessRule,

    System.Security.AccessControl.CryptoKeyAccessRule,

    System.Security.AccessControl.CryptoKeyAccessRule}

    CertificateDomains: {remote.aur.local, aur.local, AUR-KA-DC1.aur.local}

    HasPrivateKey: True

    IsSelfSigned: False

    Issuer: CN=aur-AUR-KA-DC1-CA

    NotAfter: 24.03.2012 16:05:38

    NotBefore: 25.03.2010 16:05:38

    PublicKeySize: 2048

    RootCAType: Registry

    SerialNumber: 61814DA5000000000004

    Services: IMAP, POP, SMTP

    Status: Valid

    Subject: CN=remote.aur.local

    Thumbprint: 8D5757685C9E0D29DB36D4154ED87516351C581A


    AccessRules:{System.Security.AccessControl.CryptoKeyAccessRule,

    System.Security.AccessControl.CryptoKeyAccessRule,

    System.Security.AccessControl.CryptoKeyAccessRule}

    CertificateDomains: {remote.aur.local, aur.local, AUR-KA-DC1.aur.local}

    HasPrivateKey: True

    IsSelfSigned: False

    Issuer: CN=aur-AUR-KA-DC1-CA

    NotAfter: 24.03.2012 21:47:23

    NotBefore: 25.03.2010 21:47:23

    PublicKeySize: 2048

    RootCAType: Registry

    SerialNumber: 110CF76D000000000007

    Services: IMAP, POP, IIS, SMTP

    Status: Valid

    Subject: CN=remote.aur.local

    Thumbprint: B297277FB229FEBA3658CB19F5EDF5C9D6798411

    Nun möchte ich in der Exchange-Verwaltungsshelleines der beiden Zertifikate zu erneuern, also:
    Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate.
    Allerdings will er, egal welchen der beiden Fingerabdrücke ich bei diesem Befehl eingebe, immer nur das Zertifikat "8D5757685C9E0D29DB36D4154ED87516351C581A" überschreiben.
    Das Ergebnis ist, dass die zweite genannte Fehlermeldung von oben weiterhin protokolliert wird.

    Was mache ich falsch? Kann mir dabei jemand helfen?
    Ich muss leider gestehen, dass ich mich mit diesem ganzen Zertifikats-Kram nicht wirklich auskenne. Hab mich heute quasi erst eingelesen...

    Danke schon mal!

    Gruß
    Philipp

    Montag, 27. Februar 2012 15:32

Antworten

  • Hi Philipp_a-r,

    Thumbprint: B297277FB229FEBA3658CB19F5EDF5C9D6798411

    Nun möchte ich in der Exchange-Verwaltungsshelleines der beiden Zertifikate zu erneuern, also:
    Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate.
    Allerdings will er, egal welchen der beiden Fingerabdrücke ich bei diesem Befehl eingebe, immer nur das Zertifikat "8D5757685C9E0D29DB36D4154ED87516351C581A"überschreiben.
    Das Ergebnis ist, dass die zweite genannte Fehlermeldung von oben weiterhin protokolliert wird.

    Wieviele Zertifikate hast du denn mittlerweile und wie sollte sich das Übeschreiben bemerkbar machen - geht nämlich nicht - ist ja new-cert...:
    Get-ExchangeCertificate| fl Name, Thum*, Services

    Was mache ich falsch? Kann mir dabei jemand helfen?
    Ich muss leider gestehen, dass ich mich mit diesem ganzen Zertifikats-Kram nicht wirklich auskenne. Hab mich heute quasi erst eingelesen...

    Hast du die Dienste den bereits den neuen Zertifikaten zugeordnet?
    http://christian-weihs.de/index.php/kategorie-als-blog/93-zertifikat-fuer-exchange-2007-erstellenerneuern

    Spätestens wenn du die Zertfikate löschst, sollten die Hinweise nicht mehr erscheinen...


    Viele Grüße
    Christian

    • Als Antwort markiert Philipp_a-r Dienstag, 28. Februar 2012 12:07
    Montag, 27. Februar 2012 16:15
    Moderator
  • Hi Christian,

    Hast du die Dienste den bereits den neuen Zertifikaten zugeordnet?

    http://christian-weihs.de/index.php/kategorie-als-blog/93-zertifikat-fuer-exchange-2007-erstellenerneuern

    Spätestens wenn du die Zertfikate löschst, sollten die Hinweise nicht mehr erscheinen...

    Ich habe jertzt die Dienste den Zertifikaten zugeordnet und die ablaufenden Zertifakte gelöscht. Das neue Zertifikat verrichtet seinen Dienst und (bis jetzt) läuft alles wie gewohnt. Warnungen über bald auslaufende Zertifikate werden auch nicht mehr gemeldet. Insofern gehe ich jetzt mal davon aus, dass alles behoben ist.

    Vielen Dank nochmal!

    Gruß
    Philipp

    • Als Antwort markiert Philipp_a-r Dienstag, 28. Februar 2012 12:12
    Dienstag, 28. Februar 2012 12:11

Alle Antworten

  • Hi Philipp_a-r,

    Thumbprint: B297277FB229FEBA3658CB19F5EDF5C9D6798411

    Nun möchte ich in der Exchange-Verwaltungsshelleines der beiden Zertifikate zu erneuern, also:
    Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate.
    Allerdings will er, egal welchen der beiden Fingerabdrücke ich bei diesem Befehl eingebe, immer nur das Zertifikat "8D5757685C9E0D29DB36D4154ED87516351C581A"überschreiben.
    Das Ergebnis ist, dass die zweite genannte Fehlermeldung von oben weiterhin protokolliert wird.

    Wieviele Zertifikate hast du denn mittlerweile und wie sollte sich das Übeschreiben bemerkbar machen - geht nämlich nicht - ist ja new-cert...:
    Get-ExchangeCertificate| fl Name, Thum*, Services

    Was mache ich falsch? Kann mir dabei jemand helfen?
    Ich muss leider gestehen, dass ich mich mit diesem ganzen Zertifikats-Kram nicht wirklich auskenne. Hab mich heute quasi erst eingelesen...

    Hast du die Dienste den bereits den neuen Zertifikaten zugeordnet?
    http://christian-weihs.de/index.php/kategorie-als-blog/93-zertifikat-fuer-exchange-2007-erstellenerneuern

    Spätestens wenn du die Zertfikate löschst, sollten die Hinweise nicht mehr erscheinen...


    Viele Grüße
    Christian

    • Als Antwort markiert Philipp_a-r Dienstag, 28. Februar 2012 12:07
    Montag, 27. Februar 2012 16:15
    Moderator
  • Hi Christian,

    Wieviele Zertifikate hast du denn mittlerweile und wie sollte sich das Übeschreiben bemerkbar machen - geht nämlich nicht - ist ja new-cert...:

    Get-ExchangeCertificate| fl Name, Thum*, Services

    Ich hab 10 Zertifikate, was mir ehrlich gesagt ein bisschen viel vorkommt:

    Thumbprint : 45BB5844FBB4AA32B46ABA917322145A057C21EB
    Services   : IMAP, POP, IIS, SMTP

    Thumbprint : 87D800E2FC1C13C7B7A5E7F73640CE50BA1D798C
    Services   : IMAP, POP, SMTP

    Thumbprint : B297277FB229FEBA3658CB19F5EDF5C9D6798411
    Services   : IMAP, POP, IIS, SMTP

    Thumbprint : D82871869C613B246396C6CC711AD90683942CA4
    Services   : IMAP, POP, SMTP

    Thumbprint : 466A4E0D2098A6DAA1AC5AADEF0D585E9EB7254C
    Services   : IMAP, POP, SMTP

    Thumbprint : 8D5757685C9E0D29DB36D4154ED87516351C581A
    Services   : IMAP, POP, SMTP

    Thumbprint : 0747DB04F43148D1B3675BF705FDFC134179FFEF
    Services   : IMAP, POP

    Thumbprint : DCB3F2745769B48EDA3B39F1424F4B4C49BC4F37
    Services   : IMAP, POP, SMTP

    Thumbprint : D00BA4AD1811F9533EC6EAD1D95721D17F3C6AB5
    Services   : None

    Thumbprint : B29AE552EF1DB16EFB4153C0F514AFEF29E9C111
    Services   : None

    Nach eingeben des Befehls "Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate" wurde ich gefragt, ob ich das Zertifikat überschreiben möchte. Da aber das Zertifikat mit dem Fingerabdruck ...8411 weiterhin Fehler gemeldet hat, war ich davon ausgegangen, dass das Überschreiben nicht funktioniert hat.

    Hast du die Dienste den bereits den neuen Zertifikaten zugeordnet?
    http://christian-weihs.de/index.php/kategorie-als-blog/93-zertifikat-fuer-exchange-2007-erstellenerneuern

    Spätestens wenn du die Zertfikate löschst, sollten die Hinweise nicht mehr erscheinen...

    Ich habe den Zertifikaten bisher noch keine Dienste zugeordnet. Ich dachte, in dem ich auf das vorhandene aufbaue (get-cert...), werden diese Einstellungen übernommen?
    Wie ordne ich die Dienste denn den Zertifikaten zu?

    Gruß
    Philipp


    Montag, 27. Februar 2012 16:53
  • Hi Philipp_a-r,

    Ich hab 10 Zertifikate, was mir ehrlich gesagt ein bisschen viel vorkommt:

    Mit "Get-ExchangeCertificate| fl Name, Thum*, Services, Not*" siehst du auch, wann ein Zertifikat erstellt wurde und wie lange es läuft. Damit kannst du etwas aufräumen, was auch über die EMC geht.
     Mit "Enable-ExchangeCertificate -Thumbprint xxxxx -Services SMTP,IMAP,POP,IIS" kannst du die  Dienste anpassen.

    Deaktivieren geht mit "Enable-ExchangeCertificate -Thumbprint xxxxx -Services none".


    Viele Grüße
    Christian

    Dienstag, 28. Februar 2012 01:40
    Moderator
  • Hi Christian,

    noch zwei weitere Fragen:

    1. Da das Zertifikat mit dem Fingerabdruck ...8411 noch Fehler meldet, würde ich das dann mal löschen. Wie kann ich denn nachvollziehen, ob dafür ein "Nachfolger" existiert, der dessen Aufgabe übernimmt?

    2. Bei dem neu erstellten Zertifikat ist als Herausgeber (Issuer) "CN=remote.aur.local" eingetragen. Und nicht "CN=aur-AUR-KA-DC1-CA", wie bei den ablaufenden Zertifikaten. Muss ich das korriegieren, und wenn, wie

    Vielen Dank!

    Gruß
    Philipp

    Dienstag, 28. Februar 2012 07:19
  • Hi Philipp_a-r,

    Hi Christian,

    noch zwei weitere Fragen:

    1. Da das Zertifikat mit dem Fingerabdruck ...8411 noch Fehler meldet, würde ich das dann mal löschen. Wie kann ich denn nachvollziehen, ob dafür ein "Nachfolger" existiert, der dessen Aufgabe übernimmt?

    Schau dir an, welcher Service für dein neues Cert läuft. Prüf auch mit OWA gegen...

    2. Bei dem neu erstellten Zertifikat ist als Herausgeber (Issuer) "CN=remote.aur.local" eingetragen. Und nicht "CN=aur-AUR-KA-DC1-CA", wie bei den ablaufenden Zertifikaten. Muss ich das korriegieren, und wenn, wie

    Das sieht ja so aus, als wenn ihr eine lokale CA habt und dann musst du eine Zerifikatsanforderungen (genererequest) erstellen und die Anfrag bei deiner CA einrichen.

    Schau die mal meinen Link an...


    Viele Grüße
    Christian

    Dienstag, 28. Februar 2012 07:24
    Moderator
  • Hi Christian,

    Hast du die Dienste den bereits den neuen Zertifikaten zugeordnet?

    http://christian-weihs.de/index.php/kategorie-als-blog/93-zertifikat-fuer-exchange-2007-erstellenerneuern

    Spätestens wenn du die Zertfikate löschst, sollten die Hinweise nicht mehr erscheinen...

    Ich habe jertzt die Dienste den Zertifikaten zugeordnet und die ablaufenden Zertifakte gelöscht. Das neue Zertifikat verrichtet seinen Dienst und (bis jetzt) läuft alles wie gewohnt. Warnungen über bald auslaufende Zertifikate werden auch nicht mehr gemeldet. Insofern gehe ich jetzt mal davon aus, dass alles behoben ist.

    Vielen Dank nochmal!

    Gruß
    Philipp

    • Als Antwort markiert Philipp_a-r Dienstag, 28. Februar 2012 12:12
    Dienstag, 28. Februar 2012 12:11
  • Hi Philipp,

    gern geschehen...


    Viele Grüße
    Christian

    Dienstag, 28. Februar 2012 14:59
    Moderator