none
POP/IMAP Wildcard Zeritifkat in Exchange 2013 RRS feed

  • Frage

  • Hallo Experten,

    zu allererst meine Topologie:

    1. Server: Exchange 2013 Win2012R2 SRV1 Clientzugriff
    2. Server: Exchange 2013 Win2012R2 SRV2 Postfach

    Beide sind auch AD/DC-Server und DNS-Server. Ich weiß, dass dies nicht empfohlen ist... aber in meinem Fall vernachlässigbar. Die Installation und Konf. der Server sowie der Rollen insbesondere der Exchange-Server verliefen problemlos und routinemäßig.

    Als ich dann das Wildcard-Domain Zertifikat *.domain.com auf SRV1 für die Dienste POP und IMAP konfigurieren wollte, gab es ein Problem. Wegen des FQDN der in diesem Zertifikat nicht gesetzt ist. Versucht habe ich es über das ECP (EAC).

    Habe dann gegoogelt und den X509CertificateName gesetzt für beide Server... So sieht es jetzt aus:

    [PS] C:\Windows\system32>Get-PopSettings -server srv1 | format-list


    RunspaceId                        : ENTFERNT
    Name                              : 1
    ProtocolName                      : POP3
    MaxCommandSize                    : 512
    MessageRetrievalSortOrder         : Ascending
    UnencryptedOrTLSBindings          : {[::]:110, 0.0.0.0:110}
    SSLBindings                       : {[::]:995, 0.0.0.0:995}
    InternalConnectionSettings        : {mail.domain.com:995:SSL}
    ExternalConnectionSettings        : {mail.domain.com:995:SSL}
    X509CertificateName               : mail.domain.com
    Banner                            : The Microsoft Exchange POP3 service is ready.
    LoginType                         : SecureLogin
    AuthenticatedConnectionTimeout    : 00:30:00
    PreAuthenticatedConnectionTimeout : 00:01:00
    MaxConnections                    : 2147483647
    MaxConnectionFromSingleIP         : 2147483647
    MaxConnectionsPerUser             : 16
    MessageRetrievalMimeFormat        : BestBodyFormat
    ProxyTargetPort                   : 9955
    CalendarItemRetrievalOption       : iCalendar
    OwaServerUrl                      :
    EnableExactRFC822Size             : False
    LiveIdBasicAuthReplacement        : False
    SuppressReadReceipt               : False
    ProtocolLogEnabled                : False
    EnforceCertificateErrors          : False
    LogFileLocation                   : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Pop3
    LogFileRollOverSettings           : Daily
    LogPerFileSizeQuota               : 0 B (0 bytes)
    ExtendedProtectionPolicy          : None
    EnableGSSAPIAndNTLMAuth           : True
    Server                            : SRV1
    AdminDisplayName                  :
    ExchangeVersion                   : 0.10 (14.0.100.0)
    DistinguishedName                 : CN=1,CN=POP3,CN=Protocols,CN=SRV1,CN=Servers,CN=Exchange Administrative Group
                                        (ENTFERNT),CN=Administrative Groups,CN=ENTFERNT,CN=Microsoft
                                        Exchange,CN=Services,CN=Configuration,DC=ENTFERNT,DC=eu
    Identity                          : SRV1\1
    Guid                              : ENTFERNT
    ObjectCategory                    : ENTFERNT.eu/Configuration/Schema/ms-Exch-Protocol-Cfg-POP-Server
    ObjectClass                       : {top, protocolCfg, protocolCfgPOP, protocolCfgPOPServer}
    WhenChanged                       : 16.07.2015 20:57:42
    WhenCreated                       : 16.07.2015 12:04:58
    WhenChangedUTC                    : 16.07.2015 18:57:42
    WhenCreatedUTC                    : 16.07.2015 10:04:58
    OrganizationId                    :
    OriginatingServer                 : srv2.ENTFERNT.eu
    IsValid                           : True
    ObjectState                       : Unchanged



    [PS] C:\Windows\system32>Get-PopSettings -server srv2 | format-list


    RunspaceId                        : ENTFERNT
    Name                              : 1
    ProtocolName                      : POP3
    MaxCommandSize                    : 512
    MessageRetrievalSortOrder         : Ascending
    UnencryptedOrTLSBindings          : {[::]:110, 0.0.0.0:110}
    SSLBindings                       : {[::]:995, 0.0.0.0:995}
    InternalConnectionSettings        : {srv2.ENTFERNT.eu:995:SSL, srv2.ENTFERNT.eu:110:TLS}
    ExternalConnectionSettings        : {}
    X509CertificateName               : mail.domain.com
    Banner                            : The Microsoft Exchange POP3 service is ready.
    LoginType                         : SecureLogin
    AuthenticatedConnectionTimeout    : 00:30:00
    PreAuthenticatedConnectionTimeout : 00:01:00
    MaxConnections                    : 2147483647
    MaxConnectionFromSingleIP         : 2147483647
    MaxConnectionsPerUser             : 16
    MessageRetrievalMimeFormat        : BestBodyFormat
    ProxyTargetPort                   : 9955
    CalendarItemRetrievalOption       : iCalendar
    OwaServerUrl                      :
    EnableExactRFC822Size             : False
    LiveIdBasicAuthReplacement        : False
    SuppressReadReceipt               : False
    ProtocolLogEnabled                : False
    EnforceCertificateErrors          : False
    LogFileLocation                   : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Pop3
    LogFileRollOverSettings           : Daily
    LogPerFileSizeQuota               : 0 B (0 bytes)
    ExtendedProtectionPolicy          : None
    EnableGSSAPIAndNTLMAuth           : True
    Server                            : SRV2
    AdminDisplayName                  :
    ExchangeVersion                   : 0.10 (14.0.100.0)
    DistinguishedName                 : CN=1,CN=POP3,CN=Protocols,CN=SRV2,CN=Servers,CN=Exchange Administrative Group
                                        (ENTFERNT),CN=Administrative Groups,CN=ENTFERNT,CN=Microsoft
                                        Exchange,CN=Services,CN=Configuration,DC=ENTFERNT,DC=eu
    Identity                          : SRV2\1
    Guid                              : ENTFERNT
    ObjectCategory                    : ENTFERNT.eu/Configuration/Schema/ms-Exch-Protocol-Cfg-POP-Server
    ObjectClass                       : {top, protocolCfg, protocolCfgPOP, protocolCfgPOPServer}
    WhenChanged                       : 16.07.2015 18:57:53
    WhenCreated                       : 16.07.2015 12:07:58
    WhenChangedUTC                    : 16.07.2015 16:57:53
    WhenCreatedUTC                    : 16.07.2015 10:07:58
    OrganizationId                    :
    OriginatingServer                 : srv2.ENTFERNT.eu
    IsValid                           : True
    ObjectState                       : Unchanged

    Trotzdem:

    [PS] C:\Windows\system32>Enable-ExchangeCertificate -server srv1
    Neue Sitzung für implizite Remotevorgänge des Befehls "Enable-ExchangeCertificate" wird erstellt...

    Cmdlet Enable-ExchangeCertificate an der Befehlspipelineposition 1
    Geben Sie Werte für die folgenden Parameter an:
    Services: POP
    Thumbprint: ENTFERNT
    WARNUNG: Dieses Zertifikat mit dem Fingerabdruck ENTFERNT und dem Antragsteller
    '*.domain.com' kann für POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter
     Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-POPSettings', um X509CertificateName auf den FQDN des Diensts
    festzulegen.

    Ich habe schon zig mal gegoogelt aber immer nur die gleiche "Lösung" nämlich das Setzen des X509CertificateName bekommen. Leider haut das nicht hin... Server neugestartet und die Services IMAP und POP habe ich auf SRV1&2 auch neugestartet. Nichts hilft.

    Bitte um Ratschläge!

    *"ENTFERNT": Es wurden "sensible Daten" (die ich nicht veröffentlichen möchte) entfernt. Aber so viel sei gesagt: Die Domäne endet auf .eu und gehört mir (domain.eu) und als Hostname zu verbinden möchte ich mail.domain.com (domain.com gehört auch mir) verwenden, da ich dort ein Wildcard-Zert habe und bei der .eu nicht. Das Zertifikat ist gekauft und nicht selbstausgestellt.




    Donnerstag, 16. Juli 2015 19:33

Antworten

  • Moin,

    Deine Frage ist übrigens ein schönes Beispiel, wie schwierig es ist, gute Frage zu stellen. Sehr viel überflüssige Infos, aber bei der entscheidenden Frage schreibst Du nur "haut das nicht hin" - ohne Fehlermeldung oder weitere Infos.

    Bei einem Wildcard-Zertifikat ist der Ablauf wie folgt:

    Enable-ExchangeCertificate OHNE POP/IMAP

    Set-PopSettings mit -X509Certificatename mit einem FQDN, der vom Wildcard abgedeckt ist

    Set-ImapSettings mit -X509Certificatename mit einem FQDN, der vom Wildcard abgedeckt ist

    Steht auch so in der offiziellen Doku:

    https://technet.microsoft.com/de-de/library/aa997231(v=exchg.150).aspx


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Freitag, 17. Juli 2015 07:08

Alle Antworten

  • Moin,

    Deine Frage ist übrigens ein schönes Beispiel, wie schwierig es ist, gute Frage zu stellen. Sehr viel überflüssige Infos, aber bei der entscheidenden Frage schreibst Du nur "haut das nicht hin" - ohne Fehlermeldung oder weitere Infos.

    Bei einem Wildcard-Zertifikat ist der Ablauf wie folgt:

    Enable-ExchangeCertificate OHNE POP/IMAP

    Set-PopSettings mit -X509Certificatename mit einem FQDN, der vom Wildcard abgedeckt ist

    Set-ImapSettings mit -X509Certificatename mit einem FQDN, der vom Wildcard abgedeckt ist

    Steht auch so in der offiziellen Doku:

    https://technet.microsoft.com/de-de/library/aa997231(v=exchg.150).aspx


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Freitag, 17. Juli 2015 07:08
  • Und danach ist das aktiviert, weil im ECP wird es nicht al zugewiesen angezeigt?!
    Dienstag, 21. Juli 2015 11:51
  • Moin,

    kannst du doch ganz einfach an der Shell mit

    Get-PopSettings

    bzw.

    Get-Imapsettings

    abfragen

    ;)


    Gruß Norbert

    Dienstag, 21. Juli 2015 13:16
    Moderator
  • Hallo Norbert,

    danke für deine Antwort!

    [PS] C:\Windows\system32>Get-PopSettings

    UnencryptedOrTLSBindings  SSLBindings                       LoginType                         X509CertificateName
    ------------------------  -----------                       ---------                         -------------------
    {[::]:110, 0.0.0.0:110}   {[::]:995, 0.0.0.0:995}           SecureLogin                       mail.external.com


    [PS] C:\Windows\system32>Get-ImapSettings

    UnencryptedOrTLSBindings  SSLBindings                       LoginType                         X509CertificateName
    ------------------------  -----------                       ---------                         -------------------
    {[::]:143, 0.0.0.0:143}   {[::]:993, 0.0.0.0:993}           SecureLogin                       mail.external.com

    ----

    Das ist ja das was mich so "fertig" macht... Über Set-POP/ImapSettings habe ich in der Exchange Management Shell den X509 Namen schon oft gesetzt. Leider kann ich das Wildcard-Zertifikat trotzdem nicht aktivieren.

    [PS] C:\Windows\system32>Enable-ExchangeCertificate

    Cmdlet Enable-ExchangeCertificate an der Befehlspipelineposition 1
    Geben Sie Werte für die folgenden Parameter an:
    Services: IMAP,POP
    Thumbprint: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
    WARNUNG: Dieses Zertifikat mit dem Fingerabdruck XXXXXXXXXXXXXXXXXXXXXXXXXXXX und dem Antragsteller
    '*.external.com' kann für POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter
     Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-POPSettings', um X509CertificateName auf den FQDN des Diensts
    festzulegen.
    WARNUNG: Dieses Zertifikat mit dem Fingerabdruck XXXXXXXXXXXXXXXXXXXXXXXXXXXX und dem Antragsteller
    '*.external.com' kann für IMAP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein
    vollqualifizierter Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-IMAPSettings', um X509CertificateName auf den
    FQDN des Diensts festzulegen.

    Dienstag, 21. Juli 2015 23:02
  • ... Nachtrag: Die Dienste habe ich natürlich nach dem setzen des X509 Namens immer neu gestartet.
    Dienstag, 21. Juli 2015 23:02
  • Moin,

    vielleicht hat Robert noch eine Idee, ich nun nicht mehr.

    Sonst halt einen Call aufmachen, die Kosten sind ja überschaubar, finden die einen Bug, ist es sogar kostenlos.

    :(


    Gruß Norbert

    Mittwoch, 22. Juli 2015 05:27
    Moderator
  • Moin,

    mir ist das Problem jetzt nicht ganz klar.

    Ich habe doch eingangs geschrieben:

    Enable-ExchangeCertificate OHNE POP/IMAP

    Und das steht auch im Technet und in der Fehlermeldung.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 22. Juli 2015 08:16
  • Hallo,

    danke für alle Hilfe... scheint wirklich ein Bug zu sein, nach einem "neuinstallieren" klappt es jetzt. Danke nochmals für die Unterstützung.

    Grüße,

    Julian

    Donnerstag, 23. Juli 2015 09:12
  • Hallo zusammen!

    An der Stelle stehe ich auch gerade: Altes Zertifikat läuft in Kürze ab, neues Zertifikat erworben (dieses Mal Wildcard) und jetzt das o.g. Problem.
    Ich hatte natürlich auch erst mal das neue Zertifikat importiert und dann über ECP versucht u.a. POP3 und IMAP zu aktivieren. Es trat der o.g. Fehler auf und ich bin via Google hier gelandet. OK.

    Also, neues Zertifikat in der ECP und im CertMGR wieder gelöscht und im CertMGR erneut importiert.
    Dann via EMS (Enable-ExchangeCertificate) erst mal nur für IIS und SMPT enabled.
    Dann via EMS mit  "Set-PopSettings"  bzw. "Set-IMAPSettings "die URLs gesetzt.

    Aber wie nun weiter? Oder war´s das schon?

    In der EMC werden POP und IMAP nach den o.g. Schritten beim Zertifikat nicht angezeigt, vielmehr stehen diese Dienste noch beim alten, bald ablaufenden Zertifikat.
    Und wenn ich nun versuche, POP und IMAP dem neuen Zertifikat zuzuweisen (der Gedanke war, das das jetzt vlt. geht weil ich oben URLs zugewiesen habe) erhalte ich immer noch die o.g. Fehlermeldung.

    Ich muss noch erwähnen, dass es bei mir ein EX2010 und kein EX2013 ist.

    Wo liegt denn mein Fehler?

    VIELEN DANK IM VORAUS!

    TJ


    Montag, 17. August 2015 12:25