none
STARTTLS Zertifikat läuft ab RRS feed

  • Frage

  • Standort A: E2k10 Mailboxserver, E2k10 HUB-CAS Server, außerdem E2k3 Server
    Standort B: E2k10 Server mit Mailbox/CAS/HUB Rolle und E2k3 Server

    Hallo,

    ich bekomme auf meinen beiden E2k10 Server mit der HUB Rolle folgende Meldung im Eventlog:

    The STARTTLS certificate will expire soon: subject: NEZCAS000001.ADS, thumbprint: 9D1478C42E4AFEDF9521A6BD, hours remaining: 676. Run the New-ExchangeCertificate cmdlet to create a new certificate.

    Mit get-exchangecertificate bekomme ich drei Zertifikate angezeigt. Bei dem einen mit dem genannten thumbprint wird ein zeitnaher Ablauf angezeigt:
    AccessRules        : {System.Security.AccessControl.CryptoKeyAcc
                         ule, System.Security.AccessControl.CryptoKe
    CertificateDomains : {nezcas000001.ads, imcas000001
                         ver.hag.de, autodiscover.domänexy.de, a
                         ver.domäneyz.de, autodiscover....}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=Firma XY , DC=A
    NotAfter           : 27.11.2013 17:32:33
    NotBefore          : 28.11.2011 17:32:33
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 18105670000000018
    Services           : IMAP, POP, IIS, SMTP
    Status             : Valid
    Subject            : CN=nezcas000001.ads.local, OU=IT, O=Firma-
    Thumbprint         : 9D1478C42E4AFEDF9521A6BD

    Laut Internet kann man mit folgender Syntax ein neues Zertifikat erstellen:
    new-exchangecertificate -confirm -DomainName servername servername.domain.name -Keysize 2048 -Services SMTP
    (Bei servername gebe ich wohl jeweils den CAS Server ein auf dem ich es ausführe? Aber muss ich nicht die CertificateDomains(SMTP Domänen) angeben oder holt er sich diese selber?)

     
    und mit folgendem das Zertifikat scharf schalten:
    enable-exchangecertificate -Thumbprint LONGHEXNUMBER -Services:None
    (Bei Services müsste ich sicherlich nicht None eingeben, sondern alle unter get-exchangecertifikat angezeigten (IMAP,IIS,..., oder?)

    Wäre es nicht einfacher und sinnvoller das Zertifikat nur zu verlängern? Geht das überhaupt? Evtl. wie folgt:
    Get-ExchangeCertificate -Thumbprint c4248cd7065c87cbb7d533a4afc | New-ExchangeCertificate

    Eigentlich weiß ich gar nicht genau wann das Zertifikat verwendet wird und was passiert wenn ich die Verlängerung verpasse oder ein neues Zertifikat nicht richtig erstelle! STARTTLS wird doch autom. bei der Server-Kommunikation verwendet (evtl. auch bei Client-Server Kommunikation) oder aber auch nicht, je nachdem was die Server untereinander im Hintergrund aushandeln. Wir haben diesbzgl. aber nichts besonderes konfiguriert, und es erfolgt somit völlig autom.!
    Der einzige Fall bei uns in dem bei der Clientkommunikation eine Verschlüsselung verwendet wird dürfte nur der OWA Zugriff sein, bei dem wir ein Zertifikat ausgerollt haben. Allerdings wird das, soweit ich es erkennen kann, nicht über get-exchangecertificate angezeigt! Wie kann man das anzeigen lassen?

    Danke für eure Unterstützung!

    Donnerstag, 31. Oktober 2013 07:11

Antworten

  • Also automatisch läuft mit Zertifikaten erstmal gar nix. Das es trotzdem den Anschein hat ist dem geschuldet, das der Exchange beim Setup erstmal ein paar standard Zertifikate erstellt damit er überhaupt funktioniert.

    Ich würde dir hier das: http://www.msxfaq.de/howto/e2k7ssl.htm erstmal ans Herz legen (gilt auch für 2010). Das erste Standardzertifikat kannst du nicht erneuern, da es eigentlich schon nach dem Setup durch ein eigenes ersetzt werden sollte.

    Hier: http://technet.microsoft.com/de-de/library/dd351257%28v=exchg.141%29.aspx findest du auch nochmal eine Anleitung wie du Diensten ein Zertifikat zuweist.

    Du wirst nun also nicht umhin kommen dir, bei vorhandener interner PKI, ein neues Zertifikat anzufordern, oder dir eines zu kaufen. Wenn du das nicht tust passiert auch nichts, es funktioniert weiterhin, nur bekommt jeder der auf den Server einen Dienst mit einem abgelaufenen Zertifikat nutzen will eine Sicherheitswarnung. Je nach Einstellung des Clients kann diese aktzeptiert und trotzdem weitergemacht werden, oder die Verbindung wird blockiert. Da du ersteres nur für deine Organisation festlegen kannst, verbleibt dein Exchange erstmal in einem undefinierten nutzbaren Zustand.

    Schau dir mal www.startssl.com an, da kannst du dir erstmal ein kostenloses Zertifikat anfordern. Im Idelafall kannst du auch das Ceert was du für OWA nutzt den anderen diensten zuweisen. Sollte das richtig installiert sein siehst du das in CAS Verwaltung auf dem Exchange, aber auch im IIS Manager.

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 6. November 2013 15:48
    • Als Antwort markiert Alex Pitulice Donnerstag, 7. November 2013 16:03
    Donnerstag, 31. Oktober 2013 08:13

Alle Antworten

  • Also automatisch läuft mit Zertifikaten erstmal gar nix. Das es trotzdem den Anschein hat ist dem geschuldet, das der Exchange beim Setup erstmal ein paar standard Zertifikate erstellt damit er überhaupt funktioniert.

    Ich würde dir hier das: http://www.msxfaq.de/howto/e2k7ssl.htm erstmal ans Herz legen (gilt auch für 2010). Das erste Standardzertifikat kannst du nicht erneuern, da es eigentlich schon nach dem Setup durch ein eigenes ersetzt werden sollte.

    Hier: http://technet.microsoft.com/de-de/library/dd351257%28v=exchg.141%29.aspx findest du auch nochmal eine Anleitung wie du Diensten ein Zertifikat zuweist.

    Du wirst nun also nicht umhin kommen dir, bei vorhandener interner PKI, ein neues Zertifikat anzufordern, oder dir eines zu kaufen. Wenn du das nicht tust passiert auch nichts, es funktioniert weiterhin, nur bekommt jeder der auf den Server einen Dienst mit einem abgelaufenen Zertifikat nutzen will eine Sicherheitswarnung. Je nach Einstellung des Clients kann diese aktzeptiert und trotzdem weitergemacht werden, oder die Verbindung wird blockiert. Da du ersteres nur für deine Organisation festlegen kannst, verbleibt dein Exchange erstmal in einem undefinierten nutzbaren Zustand.

    Schau dir mal www.startssl.com an, da kannst du dir erstmal ein kostenloses Zertifikat anfordern. Im Idelafall kannst du auch das Ceert was du für OWA nutzt den anderen diensten zuweisen. Sollte das richtig installiert sein siehst du das in CAS Verwaltung auf dem Exchange, aber auch im IIS Manager.

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 6. November 2013 15:48
    • Als Antwort markiert Alex Pitulice Donnerstag, 7. November 2013 16:03
    Donnerstag, 31. Oktober 2013 08:13
  • Am 31.10.2013 schrieb th.proehl:
    Hi,

    Also automatisch läuft mit Zertifikaten erstmal gar nix.

    Sicher? Ich meine, dass sich Exchange selbst ein Zertifikat ausstellt, damit
    StartTLS möglich ist. ;)

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    Donnerstag, 31. Oktober 2013 09:24
  • Stimmt, und zwar bei der Installation!
    Donnerstag, 31. Oktober 2013 14:04
  • Am 31.10.2013 schrieb th.proehl:
    Hi,

    Also automatisch läuft mit Zertifikaten erstmal gar nix.

    Sicher? Ich meine, dass sich Exchange selbst ein Zertifikat ausstellt, damit
    StartTLS möglich ist. ;)

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/


    Du hast meine Antwort etwas aus dem Kontext gerissen, klar erstellt der sich automatisch ertmal eins, aber das sollte, so wie ich schon sagte, dann durch ein eigenes ersetzt werden. Habt ihr gleich nach dem ersten Satz aufgehört zu lesen ;) ? Danach steht nämlich "Das es trotzdem den Anschein hat ist dem geschuldet, das der Exchange beim Setup erstmal ein paar standard Zertifikate erstellt damit er überhaupt funktioniert." ...
    Donnerstag, 31. Oktober 2013 16:07
  • Hallo th.proehl,

    erst einmal vielen Dank für deine Unterstützung und sorry für das Mißverständnis.

    Ich bin erst eben dazu gekommen mir das noch mal genauer anzusehen und habe gemerkt (nachdem die GUI die Zertifikate nach einer Weile dann mal angezeigt hat, das es sich bei dem abgelaufenen Zertifikat um das OWA Zertifikat handelt. Die OWA Zugriffe erfolgen mit dem Zertifikat nur intern. Externe Zugriffe auf OWA haben wir mit UAG realisiert und dort läuft das entsprechnede Zertifikat noch länger. (das hat mich auf die falsche Spur geführt)

    Im Prinzip brauche ich also nur das private, demnächst ablaufende Zertifikat zu verlängern und alle sollte gut sein. Oder muss ich etwas beachten? Die Zuweisung der Dienste sollte bei der Verlängerung ja schon integriert sein.

    Danke auch für die Links, waren interessant!

    Mittwoch, 6. November 2013 14:07
  • Eine gute Erklärung zur Auswahl von STARTTLS Zertifikaten findet man hier:

    http://technet.microsoft.com/de-DE/library/bb430748(v=exchg.141).aspx

    Mittwoch, 6. November 2013 14:11
  • Keine Ursache.

    Ja, so ist es, da ich mal annehme das du das selbstsignierte Zertifikat verlängern willst (als Aussteller steht der Name des Exchange Servers drin), muss ich dir sagen das geht nicht - aber keine Sorge, du musst es nur klonen, das ist fast genauso einfach ;).

    Einfach auf dem Exchange den Befehl ausühren:

    Get-ExchangeCertificate -Thumbprint deinthumprintvomcert | New-ExchangeCertificate

    Der ewrstellt ein neues selbstsigniertes Zertifikat.

    Mittwoch, 6. November 2013 14:54
  • Ich habe ein nicht selbst signiertes Zertifikat, welches wir über die PKI ausgestellt hatten, über die GUI an der PKI verlängert. Hat funktioniert.

    Danke noch mal für deine Unterstützung!

    Mittwoch, 27. November 2013 08:34