none
Erneuerung Zertifikate RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Specialists,

    ich sitze etwas in der Klemme. Ich habe dieses Wochenende die in kürze fälligen Zertifikate unserer LAN Domäne erneuert, so weit kein Problem. Zur vollständigen Info, wir betreiben eine 3-stufige Offline Root-CA und danach eine Domain-Ca die dann die Zertifikate ausstellt.

    Über die Domain-CA werden die Zertifikate der User und Computer dann erneuert, wobei hier eigentlich immer nur eine Erneuerung mit demselben Schlüssel gemacht wird. Heuer habe ich aber das Problem, dass nach Erneuerung aller Zertifikate, am Exchange Server (2010) ein Fehler auftritt, wo ich nicht weiß wie ich den handeln soll.

    Ich habe also auch das für den Exchange Server gedachte (Vorlage: Webserver 2003) Zertifikat mit demselben Schlüssel erneuert und musste bisher eigentlich nichts weiter tun (ausser das neue Zertifikat wieder in den entsprechenden HTTPS Connectoren am TMG einspielen und kontrollieren, ob im IIS in der entsprechenden Side für https das richtige, neue Zertifikat eingestellt ist.

    Heuer scheint zwar auch fast alles wieder zu funktionieren, aber ich kann z. B. kein ActiveSync mehr mit meinem Smartphone machen, weil er mir immer schreibt, dass etwas mit einem Zertifikat nicht passt. Nach Recherchen schon seit gestern im Netz und hier habe ich dann das erneuerte Zertifikat noch einmal sicherheitshalber den entsprechenden Diensten wie POP, IMAP, SMTP und IIS zugewiesen (Exc-Power-Shell), hat auch problemlos funktioniert, nur habe ich eine Warnmeldung bekommen, die ich denke für das Problem verantwortlich zu sein.

    Diese Meldung besagt folgendes:

    Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit dem FQDN von <FQDN Exchange Server> verwendet, weil das von der CA signierte Zertifikat mit dem Fingerabdruck <27..........A423A> den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden FQDN überein: Client <Exchange Net-Bios Name>.

    Auf meinem Domänen integrierten Client PC funktioniert aber über Outlook alles problemlos, auch webmail funktioniert über den Browser (habe ich über TeamViewer von externem PC gecheckt), nur ActiveSync über das (die) Smartphones funktioniert nicht und was ich derzeit nicht kontrollieren kann ist, wie es mit den Outlook Anywhere Verbindungen externer User aussieht.

    Bitte um rasche Hilfe was ich wo ändern kann/muss, bzw. falsch gemacht habe, da ich sonst in Kürze (morgen?) gesteinigt werde wenn nicht alles wieder funktioniert. Mir ist trotz Recherche und jahrelanger Erfahrung mit diesen Dingen (habe das schon sicher seit 5 Jahren so gemacht und immer hat alles funktioniert ohne zusätzliche Konfiguration), einfach nichts aufgefallen was ich ändern könnte/sollte.

    Vielen Dank

    Berny

    Sonntag, 15. März 2015 16:30
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Danke Euch allen für die Unterstützung, aber das Problem ist gelöst!

    Wie mich Robert drauf schon hingewiesen hat, war nur eine Neueinrichtung des Profiles auf den Windows Phones notwendig (die I-Phones scheinen Zertifikate ohnehin zu ignorieren, keine gute Idee bei wichtigen Daten). Diese ist auch ohne jegliche Fehlermeldung mit Auto-Erkennung aller Informationen durchgelaufen.  Nur warum die Windows Smartphones heuer erstmals das neue Zertifikat nicht akzeptiert haben, ich habe keine Ahnung.

    Das hätte ich natürlich auch früher schon machen können, hatte nur Angst dadurch alle Daten (Adressen, Kalender, Aufgaben etc.) zu verlieren.

    Lg, Berny

    Dienstag, 17. März 2015 13:02
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Moin,

    Deine Warnung bezieht sich auf SMTP, nicht auf EAS.

    Hast Du schon mal das Profil auf dem Geräte neu erstellt?

    Um welche Gerätetype geht es überhaupt?

    Welchen Stand hat Exchange überhaupt?

    Und wenn ich den Ablauf sehe:

    1. Korrektur im IIST

    2. Fehler

    3. Services in Exchange an neues Zertifikat gebunden

    dann würde mich nicht wundern, wenn sich Dein Problem mittlerweile von alleine behoben hat.

    Folgende Regel unbedingt beachten: Niemals am IIS manuell rumspielen, IMMER mit den Exchange Bordwerkzeugen arbeiten. Sonst bekommt Exchange diese Änderungen nicht mit.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Montag, 16. März 2015 11:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert,

    danke für Deine Antwort! Ich habe am IIS nicht herumgespielt, habe nur kontrolliert, ob die Site auch das neue Zertifikat für SSL nutzt, was der Fall war. Also habe ich nichts zu verändern gehabt.

    MS Exchange hat den aktuellen Stand 2010 SP-3 mit allen bisher über Microsoft gekommenen Updates, gleiches gilt für den darunter liegenden Windows Server 2008 R2 Standard (SP-1).

    Es handelt sich beim Mobiltelefon nicht nur um 1 Type, sondern es sind 4 unterschiedliche Smartphones betroffen. Ich selber habe ein Nokia Lumia 730, sonst (was ich auswendig weiß) sind noch ein Samsung Active S und 2 I-Phones betroffen. An keinem der Smartphones wurden bisher Änderungen durchgeführt.

    Auf meinem bekomme ich die Meldung:

    Offenbar liegt ein Problem mit dem Zertifikat für webmail.<öffentliche Domain> vor. Es kann möglicherweise helfen, die WLAN- Funktion kurz aus- und dann wieder einzuschalten. Warten Sie anderenfalls eine Weile, und versuchen Sie es dann erneut mit der Synchrisation.  Fehlercode: 80072F89

    Das kommt seit der Erneuerung der Zertifikate bei jedem Aufruf der Mail am Smartphone. Ich weiß nicht mehr wie oft ich das Smartphone aus dem Grund restartet habe und wie oft ich die Datenverbindung aus- und eingeschaltet habe, detto WLAN.

    Zu Deinen Punkten:

    1. JA, ist das richtige Zertifikat wie es sein sollte (und in der Vergangenheit auch immer war, nur jetzt das mit wieder 1 Jahr Laufzeit).

    2. Der von mir im oberen Post beschriebene Fehler kommt, wenn ich die entsprechenden Services dem "neuen" (nur wieder mit demselben Schlüssel erneuerten) Zertifikat zuweise.

    3. Ja, POP, IMAP, SMTP und IIS sind korrekt an das Zertifikat gebunden. Er schreit mit der Warnung eben nur, dass er keine TLS Authentifizierung machen kann.

    Das Problem hat sich auch nicht von alleine gelöst, sonst würde ich hier das schon geschrieben haben. Abwer als kuriose Info noch, was mich doch jetzt mehr zu einem Problem am TMG kommen läßt: Alle anderen Services am Exchange funktionieren, nur ActiveSync nicht. Es funktioniert Outlook im LAN (Domäne) wunderbar, es funktioniert auch Outlook Anywhere von allen externen Usern perfekt, es funktioniert auch OWA ohne Probleme, nur der besch.... ActiveSync macht mich fertig!

    Lg, Berny

    Montag, 16. März 2015 17:10
    |
  • Question
    Anmelden
    0
    Anmelden
    Mal ganz banal den FW Service vom TMG durchgestartet? Beim ISA mußte man das manchmal machen, weil er sonst das neue Cert nicht genommen hat.
    Montag, 16. März 2015 17:42
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Danke Euch allen für die Unterstützung, aber das Problem ist gelöst!

    Wie mich Robert drauf schon hingewiesen hat, war nur eine Neueinrichtung des Profiles auf den Windows Phones notwendig (die I-Phones scheinen Zertifikate ohnehin zu ignorieren, keine gute Idee bei wichtigen Daten). Diese ist auch ohne jegliche Fehlermeldung mit Auto-Erkennung aller Informationen durchgelaufen.  Nur warum die Windows Smartphones heuer erstmals das neue Zertifikat nicht akzeptiert haben, ich habe keine Ahnung.

    Das hätte ich natürlich auch früher schon machen können, hatte nur Angst dadurch alle Daten (Adressen, Kalender, Aufgaben etc.) zu verlieren.

    Lg, Berny

    Dienstag, 17. März 2015 13:02
    |