Exchange 2016 CU14 - SecurityPatch = SMTP Zertifikatsbindung korrupt

• Frage

• 

  

  0

  Anmelden

  Ist Zustand: Exchange Server mit CU14

  Soll Zustand: Installation vom Security Update

  Vorfall: Zertifikatsbindung für SMTP nicht mehr gegeben

  In der Testumgebung habe ich an einem Exchange Server das SecurityUpdate wie folgt installiert.

  1. Ablage von der MSP Daten auf dem Desktop
  2. CMD als Administrator gestartet und in der Shell zum Desktop gewechselt
  3. Aufruf des Updates „Exchange2016-CU14_SecurityPatch-KB4536987-x64-de.msp“
  4. Installation erfolgreich abgeschlossen und Neustart durchgeführt.

  Nun wurden von mir die Dienste etc. kontrolliert und es ist beim Aufruf der Zertifikate und ihrer Dienstzuordnung eine Abweichung zum noch nicht gepatchten System aufgefallen.

  So erschien die Ausgabe auf dem aktualisierten System:

  Get-ExchangeCertificate | sort-object Subject | ft Thumbprint, Services, subject
  

  Thumbprint                                                                                  Services               Subject

  ----------                                                                                           --------                   -------

  E405XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXC3FBE        IIS                           CN=EX01

  EE6DABABABABABABABABABAABABABABA60020          None                    CN=Microsoft Exchange Server Auth Certificate

  72E1212121212121212121212121212122121201F          IMAP, POP, IIS   CN=mail.exlab.domain.de

  FBZUUZUZUZUZUZUZUZUZUUZUZUZUZUZUU32F8         None                    CN=WMSvc-SHA2-EX01

  So war die Ausgabe vor der Aktualisierung:

  Get-ExchangeCertificate | sort-object Subject | ft Thumbprint, Services, subject

  
  

  Thumbprint                                                                                  Services               Subject

  ----------                                                                                           --------                   -------

  E405XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXC3FBE        IIS                           CN=EX01

  EE6DABABABABABABABABABAABABABABA60020          SMTP                    CN=Microsoft Exchange Server Auth Certificate

  72E1212121212121212121212121212212121201F          IMAP, POP, IIS   CN=mail.exlab.domain.de

  FBZUUZUZUZUZUZUZUZUZUUZUZUZUZUZUU32F8         None                    CN=WMSvc-SHA2-EX01

  Ich habe nun die über das EAC versucht die Zertifikatsbindung vom Zertifikat „Microsoft Exchange Server Auth Certificate“ an den Dienst SMTP zu binden, aber dies klappte nicht und es erschien aber auch keine Fehlermeldung.

  Nun nutzte ich die Powershell und auch da gab es keine Änderung und es stand weiterhin auf None.

  Enable-ExchangeCertificate -Server EX01 EE6DABABABABABABABABABAABABABABA60020 -Services SMTP

  
  

  Ein Neustart vom Server wirkte nicht und so wählte ich einen Weg der augenscheinlich der richtige war.

  1. Ich habe im Zertifikatsspeicher das Zertifikat „Microsoft Exchange Server Auth Certificate“ mit privaten Schlüssel exportiert.
  2. Das Zertifikat wurde dann von mir entfernt
  3. Nun setzte ich einen Befehl ab um ein anderes Zertifikat an den Dienst SMTP zu binden und da kam folgende Meldung

  Enable-ExchangeCertificate -Server EX01 E405XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXC3FBE -Services SMTP

  
  

  Bestätigung

  Soll das vorhandene SMTP-Standardzertifikat überschrieben werden?

  Aktuelles Zertifikat: 'EE6DABABABABABABABABABAABABABABA60020' (läuft am 17.08.2023 11:36:31 ab)

  Ersetzen durch Zertifikat: 'E405XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXC3FBE' (läuft am 18.01.2024 12:48:23 ab)

  Anscheinend ist doch noch irgendwo das Zertifikat für SMTP verbunden gewesen. Ich habe mit „J“ geantwortet und das SMTP-Standardzertifikat überschrieben.

  1. Nun erfolgte ein Neustart
  2. Nach dem Neustart war das Zertifikat „Microsoft Exchange Server Auth Certificate“ wieder im Speicher und wurde sogar für den Dienst SMTP angegeben

  Get-ExchangeCertificate | sort-object Subject | ft Thumbprint, Services, subject

  
  

  Thumbprint                                                                                  Services               Subject

  ----------                                                                                           --------                   -------

  E405XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXC3FBE        IIS                           CN=EX01

  EE6DABABABABABABABABABAABABABABA60020          SMTP                    CN=Microsoft Exchange Server Auth Certificate

  72E1212121212121212121212121212121221201F          IMAP, POP, IIS   CN=mail.exlab.domain.de

  FBZUUZUZUZUZUZUZUZUZUUZUZUZUZUZUU32F8         None                    CN=WMSvc-SHA2-EX01

  1. Zur Sicherheit habe ich aber das Zertifikat „Microsoft Exchange Server Auth Certificate“ nochmal an den Dienst gebunden und erhielt folgende Anzeige.

  Enable-ExchangeCertificate -Server EX01 EE6DABABABABABABABABABAABABABABA60020 -Services SMTP

  
  

  Bestätigung

  Soll das vorhandene SMTP-Standardzertifikat überschrieben werden?

  Aktuelles Zertifikat: 'E405XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXC3FBE' (läuft am 18.01.2024 12:48:23 ab)

  Ersetzen durch Zertifikat: 'EE6DABABABABABABABABABAABABABABA60020' (läuft am 17.08.2023 11:36:31 ab)

  1. Ein Neustart vom Server und die Bindungen sind nun wieder so wie es vorher war.

  Hat jemand eine Erklärung für dieses Verhalten oder vielleicht sogar ähnliche Erfahrung. Bei einem CU ist mir das noch nie passiert.

  MfG Paul

  Donnerstag, 27. Februar 2020 21:02

  Antworten

  |

  Zitieren