none
Zertifikat für SMTP und IIS ersetzen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    in dieser Woche läuft ein Zertifikat auf einem von 4 Exchangeservern ab.Daran gebunden sind die Dienste SMTP und IIS.

    Ich muss zum ersten Mal so ein Zertifikat austauschen. Deshalb kurz meine Frage. Ich würde das aktuelle Zertifikat anschauen und die alternativen Antragstellername etc. im neuen Zertifikat identisch halten und dann anschließend importieren.

    Dann würde ich die Dienste (in dem Fall SMTP und IIS) damit verbinden und anschließend via

    iisreset

    den IIS neu starten.

    Habe ich etwas vergessen oder übersehen? Das sollte doch dann unbemerkt und fehlerfrei klappen ,oder?

    Am Ende würde ich dann das alte Zertifikat löschen.

    Danke für eure Hilfe!

    Grüße

    Toni

    Mittwoch, 22. Januar 2020 20:17
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    bevor Du das alte Zertifikat löschst, starte den Transport auch neu. Ansonsten sollte das passen.

    Frage: Wie kommt es, dass Du unterschiedlich lange laufende Zertifikate auf den Servern hast? 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert tonibert Mittwoch, 22. Januar 2020 21:28
    Mittwoch, 22. Januar 2020 20:28
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    bevor Du das alte Zertifikat löschst, starte den Transport auch neu. Ansonsten sollte das passen.

    Frage: Wie kommt es, dass Du unterschiedlich lange laufende Zertifikate auf den Servern hast? 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert tonibert Mittwoch, 22. Januar 2020 21:28
    Mittwoch, 22. Januar 2020 20:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    das habe ich so übernommen. Ich kann leider keinen mehr fragen.Ein Kollege ist im Ruhestand und ein Kollege hat uns leider verlassen. Deshalb möchte ich das jetzt auch anpassen.

    Wenn ich die anderen Server mit in die alternativen Antragsteller mit aufnehme, dann kann ich doch auch das Zertifikat auf den anderen Servern ebenfalls nutzen und demnach auch "gerade ziehen" oder?

    Mit Transport meinst du

    Start-Service MSExchangeTransport

    Toni


    • Bearbeitet tonibert Mittwoch, 22. Januar 2020 21:10
    Mittwoch, 22. Januar 2020 21:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ich habe seit Exchange 2013 in keiner Umgebung mehr Servernamen im Zertifikat drin gehabt (einzige zwingende Ausnahme: wenn Unified Messaging genutzt werden soll). Wenn die ganzen URLs, intern wie extern, Autodiscover und Outlook Anywhere nicht vergessen, auf den Load Balancing-Namen konfiguriert sind, nutzt Exchange Servernamen nur im Backend, und um die dortigen Zertifikate kümmert sich Exchange selber.

    Jetzt in einem Internet-Forum irgendwas übers Knie zu brechen, ist sicher unverantwortlich, aber schau Dir das Namespace Design Deiner Umgebung an - vielleicht lässt sich ein gemeinsamer Namespace mit wenig Aufwand umsetzen, und dann brauchst Du nur noch ein Zertifikat, ohne Servernamen...

    Hier was zum Lesen und die Links unten nicht ignorieren: https://practical365.com/exchange-server/exchange-best-practices-client-access-namespaces/

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 22. Januar 2020 21:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja, das Design  habe ich mir schon angesehen.(das hätte ich auch mal noch mit hier schreiben können).

    Ich danke dir mal wieder für deine tolle, schnelle Hilfe!

    Damit komme ich erst mal weiter.

    Toni

    Mittwoch, 22. Januar 2020 21:28
    |
  • Question
    Anmelden
    1
    Anmelden

    ich habe seit Exchange 2013 in keiner Umgebung mehr Servernamen im Zertifikat drin gehabt (einzige zwingende Ausnahme: wenn Unified Messaging genutzt werden soll). Wenn die ganzen URLs, intern wie extern, Autodiscover und Outlook Anywhere nicht vergessen, auf den Load Balancing-Namen konfiguriert sind, nutzt Exchange Servernamen nur im Backend, und um die dortigen Zertifikate kümmert sich Exchange selber.


    Hallo

    Ich gebe dir grundsätzlich recht das es die Servernamen nicht braucht. Es kostet aber auch nichts diese zusätzlich zu erfassen. Gerade wenn man mal was testen will kann man so direkt einen einzelnen Server nutzen und muss nicht auf allen Servern schauen wo jetzt die Anfrage gerade landet.

    Gruss

    Florian

    Freitag, 24. Januar 2020 09:00
    |
  • Question
    Anmelden
    1
    Anmelden

    Ich gebe dir grundsätzlich recht das es die Servernamen nicht braucht. Es kostet aber auch nichts diese zusätzlich zu erfassen.

    ...wenn man die Zertifikate selbst ausstellt :-) Aber das sollte auch in diesem Fall keinem anderen Zweck dienen als der von Dir angesprochenen Diagnostik. Und hier liegt leider die Gefahr, etwas zu übersehen, denn funktionieren tut's ja dann auch mit Servernamen...

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 24. Januar 2020 09:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Männer und danke für eure Beiträge.

    Bei mir hat soweit alles geklappt.

    Spricht von eurer Seite etws dagegen wenn ich meine benötigten Dienste an ein Zertifikat hänge?

    Ich würde dann alle Dienste damit verbinden und anschließend und das ist meine zweite Frage die anderen Zertifikate gerne löschen.

    Also MWSVC etc. das sind ja alles selbsignierte Zeritfikate. Benötige ich die (dann noch)?

    Toni



    • Bearbeitet tonibert Montag, 27. Januar 2020 11:31
    Montag, 27. Januar 2020 11:30
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    fass die Zertifikate nicht an, die am Backend hängen, Exchange kümmert sich darum.

    Bei SMTP-TLS ist es wichtig, dass der FQDN, mit dem die Konnektoren sich melden, im Zertifikat enthalten ist.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 27. Januar 2020 11:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Ahja...danke.

    Hab dazu gerade das hier gelesen.

    "Bei SMTP-TLS ist es wichtig, dass der FQDN, mit dem die Konnektoren sich melden, im Zertifikat enthalten ist."

    Kannst du mir das bitte weiter erklären? Das ist mir jetzt nicht ganz klar was du damit meinst.

    Also was ein FQDN ist schon aber mir fehlt gerade der Zusammenhang

    Toni


    • Bearbeitet tonibert Montag, 27. Januar 2020 12:35
    Montag, 27. Januar 2020 12:35
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    Du hast ja bei jedem Sende- oder Empfangsconnector die Möglichkeit festzulegen, wie er sich meldet. Bei Empfangsconnectors siehst Du es, wenn Du per Telnet eine Verbindung aufbaust. Du sagst z.B. 

    telnet EXSRV01.firma.local smtp

    und er antwortet

    220 smtp-in.company.com Microsoft ESMTP usw.
    Wenn Exchange ein Zertifikat sucht, das gebunden werden soll, schaut es, ob unter den SANs der Name ist, der auf dem Connector konfiguriert ist...

    Evgenij Smirnov

    http://evgenij.smirnov.de


    Montag, 27. Januar 2020 12:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Evgenij,

    vielen Dank für deine tolle Erklärung und auch danke für die Zeit die du dir damit immer nimmst!

    Das ist nicht selbstverständlich!!!!

    Danke sehr!

    Toni

    Montag, 27. Januar 2020 13:07
    |