Abbruch Zertifikatsanforderung zerstört IIS

Alle Antworten

• 

  

  0

  Anmelden

  Moin,

  die Abfrage kommt, wenn Du beim Dienste zuweisen SMTP ausgewählt hast. In der Regel kannst Du die mit "Ja" beantworten, weil das eigene Zertifikat besser für TLS ist, als das Self-Signed des Setups.

  Wenn Du nun nicht mehr ans ECP kommst, nimm die EMS für die Korrektur:

  Enable-ExchangeCertificate 9C5F..... -Services IMAP,POP,IIS,SMTP -Force

  Anstelle von 9C5F..... musst Du den gesamten Fingerabdruck eintragen, so wie er oben im Screenshot steht.

  Am besten rufst Du Get-ExchangeCertificate auf und kopierst ihn vorher raus.

  ---

  Gruesse aus Berlin schickt Robert - MVP Exchange Server

  • Als Antwort markiert ITSAM77 Montag, 28. April 2014 11:04

  Sonntag, 27. April 2014 07:49

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Robert,

  vielen Dank für Deine Hilfe. In der Tat, es hat funktioniert!! Ich habe das Zertifikat das mit der Installation erzeugt wurde wieder aktiviert.
  

  Wahrscheinlich hatte ich ein defektes Zertifikat erstellt.

  Wenn ich ein Zertifikat mit der Webregistrierung auf dem gleichen Server erstelle habe ich folgendes Probem: 1. Das Zertifikat kann ich nach dem Einreichen sofort herunterladen, ich hätte es gerne über die Zertifizierungsstelle freigegeben.

  2. Das Zertifikat hat im Feld Alternativer Antragstellername nicht den gewünschten Inhalt:
  DNS-Name=mail.<domäne>.com
  DNS-Name=<server>.<domäne>
  DNS-Name=AutoDiscover.<domäne>.com

  Kannst Du mir noch mal helfen?

  Vielen Dank

  Grüße Samuel

  Sonntag, 27. April 2014 17:58

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Zum ersten Problem: Dann hast du das Autoenrollment in der CA aktiviert. Zum 2ten Problem, hast du über certutil das entsprechende Flag gesetzt das SAN Zertifikate ausgestellt werden können. Ist afaik standardmäßig disabled. Grüße Jörg

  Sonntag, 27. April 2014 19:21

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Jörg,

  vielen Dank für Deine Hilfe. Das Autoenrollment konnte ich deaktivieren. Bei Unternehmenszertifizerungsstellen ist das eine Standardeinstellung. Ich habe bisher immer eigenständige Zertifizierungsstellen erstellt, deshalb war ich etwas überrrascht.

  Nun zum einem zweiten Problem: ich bekomme es nicht gebacken. Ich hatte lediglich über die Verwaltung von Win 2012 R2 die Zertifizerungsstelle hinzugefügt und bisher ohne certutil gearbeitet. Wie kann ich SAN Zertifikate wieder deaktivieren wenn das bei dem Feld Alternativer Antragstellername stört?

  Ich hätte gerne:

  DNS-Name=mail.<domäne>.com
  DNS-Name=<server>.<domäne>
  DNS-Name=AutoDiscover.<domäne>.com

  erhalte aber:

  Anderer Name:
       Prinzipalname=<admin>@<domäne>.local

  Hast Du noch eine Idee?

  Vielen Dank

  Sonntag, 27. April 2014 20:43

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  wenn das so aussieht, hast Du vermutlich den falschen Zertifikatstyp ausgewählt.

  Denk daran, dass Du auf der Webseite eine "erweiterte Zertifikatsanforderung" einreichen musst, danach den Link "Reichen Sie eine Anforderung, die eine BASE64-kodierte....." anklicken, den Inhalt der Anforderung in das erste Feld kopieren und WICHTIG!!!! darunter als Zertifikatsvorlage "Webserver" auswählen.

  Habe ich eben in meiner "Kurs"-Umgebung ausprobiert, die ich am WE neu aufgebaut habe, Windows 2012 R2 Unternehmens-CA ohne jegliche Änderungen -> gibt ein SAN-Zertifikat.

  Siehe auch hier, unterer Abschnitt: http://www.msxforum.de/modules/publisher/item.php?itemid=124

  ---

  Gruesse aus Berlin schickt Robert - MVP Exchange Server

  • Als Antwort markiert ITSAM77 Montag, 28. April 2014 11:04

  Montag, 28. April 2014 09:26

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Robert,

  vielen Dank für Deine Hilfe. Ich hatt vergessen als Zertifikatsvorlage "Webserver" auszuwählen.

  Jetzt geht alles. Super!! Danke!

  SB Samuel

  Montag, 28. April 2014 11:04

  Antworten

  |

  Zitieren