none
Exchange2013 Zertifikat erneuern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen,

    ich habe nur eine kurze Frage. Nachdem ich gestern das Exchange Zertifikat verlängern wollte und dabei das Zertifikat (PKI) mit dem Befehl für ein Self-signed verlängert habe, möcht ich diesmal nix falsch machen.  Ich habe nun wieder das ursprüngliche Zertifikat installiert und an die Dienste gebunden. Alles OK soweit. Nur läuft dieses Zertifikat Anfang Mai ab.

    Wie verlängere ich das Zertifikat am einfachsten und ohne Fehler? Im IIS oder über die Powershell, wenn Ja mit welchem Befehl oder eben über die ECP über ->Server->Zertifikate->erneuern?

    Vielen Dank für Eure Hilfe.

    Gruß

    Thomas

    Mittwoch, 18. März 2015 09:03
    |

Antworten

  • Question
    Anmelden
    4
    Anmelden

    Moin,

    Du machst das entweder via EMS oder über EAC, aber NICHT über den IIS.

    Und Du fasst dabei nur DEINE Zertifikate nicht, nicht die von Exchange automatisch ausgestellten für das Backend!

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert TomEnger Mittwoch, 18. März 2015 14:13
    Mittwoch, 18. März 2015 10:25
    |

Alle Antworten

  • Question
    Anmelden
    4
    Anmelden

    Moin,

    Du machst das entweder via EMS oder über EAC, aber NICHT über den IIS.

    Und Du fasst dabei nur DEINE Zertifikate nicht, nicht die von Exchange automatisch ausgestellten für das Backend!

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert TomEnger Mittwoch, 18. März 2015 14:13
    Mittwoch, 18. März 2015 10:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    hab jetzt die Anforderung über die EMC gemacht und das .req erstellt. Auf meine CA bekomme ich bei der Anforderung folgenden Fehler:

    Die Anforderung enthält keine Zertifikatsvorlageninformationen. 
    0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE)
    Verweigert vom Richtlinienmodul

    a.s.o.

    Ich kann bei der Anforderung in der EMC nicht Angeben welche Vorlage ich benötige.

    Kann das mit dem SAN-Zertifikat zusammenhängen?

    Gruß

    Thomas

    Mittwoch, 18. März 2015 11:44
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    ich spekuliere mal: Du reichst den REQ via MMC ein. Das geht leider nicht.

    Du musst den REQ entweder via Web oder via Certreq.exe einreichen und in beiden Fällen dann die entsprechende Vorlage auswählen.

    Die MMC hat hier einen Fehler, der in der Tat am SAN liegt.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 18. März 2015 12:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert,

    danke für deine Mühe. 

    hab das jetzt mit Certreq.exe gemacht. Alles prima, hab das Zertifikat exportiert. Was mir aber jetzt aufgefallen ist, dass das zertifikat keinen privaten Schlüssel besitzt. Ist das korrekt?

    Gruß

    Thomas

    Mittwoch, 18. März 2015 13:23
    |
  • Question
    Anmelden
    0
    Anmelden
    Hast Du das ausgestellte Zertifikat dann danach auch wieder in den Exchange zurück importiert? (= im EAC die offene Anforderung abschließen)?

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 18. März 2015 13:28
    |
  • Question
    Anmelden
    0
    Anmelden
    Nein, noch nicht. Nicht das mir wieder die Clients auf Dach steigen :-)
    • Bearbeitet TomEnger Mittwoch, 18. März 2015 13:43
    Mittwoch, 18. März 2015 13:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Dann ist das normal. Der Privateschlüssel ist ja nicht an die CA gegangen, daher kann er von dort auch nicht zurückkommen. Den kennt nur der Aussteller.

    Du kannst die Anforderung problemlos abschließen. Die Anwender merken erst was davon, wenn Du Dienste zuweist.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 18. März 2015 13:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Alles klar, das werde ich dann heute Abend mal umsetzen.

    Vielen Dank für deine Hilfe.

    Gruß
    Thomas

    Mittwoch, 18. März 2015 14:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo nochmal,

    habe jetzt die Anforderung abgeschlossen und die Dienste zugewiesen. Es kam die nachfrage ob überschrieben werden soll, mit Ja beantwortet und gut.

    Jetzt habe ich zwei gültige Zertifikate mit jeweils zugewiesenen Diensten. Ist das normal? Kann ich das abgelöste Zertifikat einfach löschen?

    Gruß

    Thomas

    Donnerstag, 19. März 2015 16:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    für IMPA/POP/IIS sollte es nur eine Bindung geben (eventuelle Back-End-Zertifikate ignorieren!!).

    Nur bei SMTP sind mehrere Bindungen möglich. Wenn das neue Zertifikat funktioniert, kann das alte gelöscht werden.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 19. März 2015 17:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    es ist so, dass beider Zertifikate die gleiche Bindung an die Dienste haben. Also IMAP/POP/IIS/SMTP.

    Das finde ich schon seltsam. Kann ich sehen welches Zertifikat aktiv ist?

    Freitag, 20. März 2015 07:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    vor dem rumspielen, schauen wir erst mal.

    Bitte mal die Ausgabe von dem hier posten:

    Get-ExchangeCertificate | fl Thumbprint,isselfsigned,issuer,services

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Freitag, 20. März 2015 14:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin Robert,


    Hier die Ausgabe.

    Gruß
    Thomas

    Montag, 23. März 2015 08:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    nur um sicher zu gehen: Das ist ein Multi-Role-Server Exchange 2013 und Du hast nur diese drei Zertifikate?

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Montag, 23. März 2015 09:59
    |
  • Question
    Anmelden
    0
    Anmelden
    Ja, und das eine soll ja das andere ablösen. Es handelt sich hier um ein SAN-Zertifikat.
    Montag, 23. März 2015 10:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Das Problem ist, dass bei Dir Zertifikate für das Backend fehlen. Das sind die Dinger, von denen ich eingangs sprach und die Du auf keinen Fall anfassen darfst. 

    Normalerweise sieht das nämlich so aus:

    Thumbprint         : D242CD7841CD8F3FE71D19EA85DEA5EA8A1957FF
    IsSelfSigned       : True
    Issuer             : CN=Microsoft Exchange Server Auth Certificate
    Services           : SMTP -> Backend SMTP
    CertificateDomains : {}

    Thumbprint         : 0CF7CCB185B419240F77FC375FB070220A277E10
    IsSelfSigned       : True
    Issuer             : CN=HOME-EX01
    Services           : IIS, SMTP -> Back-End IIS + SMTP
    CertificateDomains : {HOME-EX01, HOME-EX01.DOMAIN}

    Thumbprint         : F48D59DFAAB8CE158EB2EA89144B3E6DD96E0D76
    IsSelfSigned       : False
    Issuer             : CN=CA01, DC=sm-rw, DC=local
    Services           : IMAP, POP, IIS, SMTP -> Front-End alle Services
    CertificateDomains : {rpc.DOMAIN, home.DOMAIN, ..... }

    Offensichtlich wird eines der öffentlichen auch für das Backend verwendet. Wenn Du nun das falsche löschst, funktioniert Exchange nicht mehr.

    Ich fürchte, das übersteigt die Möglichkeiten eines Forums. Das muss sich jemand vor Ort ansehen. Normalerweise würde man dann ein neues Self-Signed für das Backend einrichten, doppelt prüfen, ob noch alles läuft und dann erst das alte entfernen.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Montag, 23. März 2015 10:19
    |
  • Question
    Anmelden
    0
    Anmelden
    OK. Handelt es sich bei den Backend-Zertifikaten nur um die im IIS gebundenen? Sprich Port 443 für OWA/EMS? Oder gibt es noch andere Stellen an denen ich schauen kann welches Zertifikat gebunden ist?
    Montag, 23. März 2015 12:27
    |
  • Question
    Anmelden
    1
    Anmelden
    Das Backend ist eine eigene virtuelle Site im IIS und hört bei SSL auf Port 444.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Montag, 23. März 2015 14:10
    |