none
Neues Wildcard-Zertifikat - SMTP-Service-Bindung nicht wie erwartet

    Frage

  • Hallo Community,

    ich verzweifele aktuell an einem Problem beim Kunden.

    Der Kunde hat ein Wildcard-Zertifikat im Einsatz, welches Ende der Woche ausläuft.

    Ich habe am Freitag das neu ausgestellte Zertifikat (neu, nicht verlängert) eingebunden und die beiden, auf dem alten Zert liegenden Dienste (IIS + SMTP), über EAC an das neue Zertifikat gebunden.

    Wie erwartet kam auch die Rückfrage, ob der Default-SMTP nun an das neue Zertifiklat gebunden werden soll - habe ich auch mit JA beantwortet.

    Für IIS hat das funktioniert - aber für SMTP nicht:

    [PS] C:\Windows\system32>Get-ExchangeCertificate

     Thumbprint                                Services   Subject

    ----------                                --------   -------

    35xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxA8  ...W...    CN=*.firma.de             (NEUES ZERTIFIKAT)

    A0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAF  ....S..    CN=*.firma.de             (ALTES ZERTIFIKAT)

    A8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3A  .......    CN=Microsoft Exchange Server Auth Certificate

    A7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx54  IP.W...    CN=SRV-EX-01

    EDxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxDE  .......    CN=WMSvc-SHA2-SRV-EX-01

    Wie man sieht, wurde der Dienst SMTP nicht auf das neue Zertifikat übernommen. Auch im EAC steht SMTP noch aktiv ausgegraut auf dem alten Zertifikat - wenn ich aber versuche SMTP an ein anderes Zertifikat zu binden, erscheint wieder die Frage, ob ich das Default-Zertifikat für SMTP mit dem Fingerprint 35xxxxA8 verschieben möchte. Also weg von dem neuen Zertifikat? Das ganze auch umgekehrt. Siehe Screenshot 1, 2, 3

    An irgendeiner Stelle hat er das Neue also schon aktzeptiert. Nur nicht anzeigbar ...

    Egal wo ich was prüfe, auch auf den Connectoren, ich finde nirgends eine harte Bindung auf das alte oder neue Zertifikat. Überall ist der Wert TlsCertificateName leer  -was für mich bedeutet, dass für TLS gegebenenfalls das Standardzertifikat verwendet werden würde.

    Kann mir bitte jemand gedanklich auf die Sprünge helfen, wo ich falsch abgebogen bin?

    Aktuell gibt es noch kein Problem beim Kunden, aber was passiert nach dem Ablaufdatum des alten Zertifikats?

    Vielen Dank vorab.

    Mit freundlichen Grüßen,

    D. Gaisar

    Montag, 23. April 2018 10:07

Alle Antworten

  • Aktuell gibt es noch kein Problem beim Kunden, aber was passiert nach dem Ablaufdatum des alten Zertifikats?

    Dann wird es nicht mehr zur Auswahl herangezogen.

    Harte Bindungen macht Exchange nicht, denn es könnten ja mehrere Domains betroffen sein, die normalerweise auch zu unterschiedlichen Zertifikaten führen.

    Weiterführende Lektüre: https://technet.microsoft.com/en-us/library/bb430773(v=exchg.80).aspx

    Die Frage ist außerdem, welches Zertifikat tatsächlich genommen wird.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 23. April 2018 11:21
  • Aktuell gibt es noch kein Problem beim Kunden, aber was passiert nach dem Ablaufdatum des alten Zertifikats?

    Dann wird es nicht mehr zur Auswahl herangezogen.

    Harte Bindungen macht Exchange nicht, denn es könnten ja mehrere Domains betroffen sein, die normalerweise auch zu unterschiedlichen Zertifikaten führen.

    Weiterführende Lektüre: https://technet.microsoft.com/en-us/library/bb430773(v=exchg.80).aspx

    Die Frage ist außerdem, welches Zertifikat tatsächlich genommen wird.


    Evgenij Smirnov

    Hallo und danke für die Rückmeldung,

    die weiterführende Lektür hatte ich schon gelesen, trifft es m.E. für mich aber nicht so ganz:

    Mit harte Bindung meinte ich die Zuweisungen die man mit set-ReceiveConnector "xyz" -TlsCertificateName "ZERTIFIKASNAME" für die Connectoren durchführt.

    Wie finde ich heraus, welches Zertifikat tatsächlich für SMTP verwendet wird? Bei HTTP ist das schon klar. Zudem: Mag ja sein, dass das alles richtig ist, aber wieso wird bei dem neuen Zertifikat kein "SMTP-Service" angezeigt, aber dafür bei dem alten. Wenn das so einfach wäre, könnte ich jetzt auch mit das alte Zertifikat löschen und SMTP müsste dann auf dem neuen Zertifikat angezeigt werden ...

    Dake und Gruß,

    Dan

    Montag, 23. April 2018 12:05
  • Wie finde ich heraus, welches Zertifikat tatsächlich für SMTP verwendet wird? 

    Für den Receive-Connector ist es einfach:

    openssl s_client -connect mail.firma.de:25 -starttls smtp
    openssl s_client -connect mail.firma.de:465

    je nachdem ob SSL oder STARTTLS verwendet wird.

    Für den Send-Connector steht es, meine ich, in den Logs, wenn man das Logging hoch dreht. Finde ich aber gerade nicht.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 23. April 2018 14:08
  • Wie finde ich heraus, welches Zertifikat tatsächlich für SMTP verwendet wird? 

    Für den Receive-Connector ist es einfach:

    openssl s_client -connect mail.firma.de:25 -starttls smtp
    openssl s_client -connect mail.firma.de:465

    je nachdem ob SSL oder STARTTLS verwendet wird.

    Ein openssl s_client -connect mail.firma.de:25 -starttls smtp ergibt, das keiner von den beiden Wildcard-Zertifikaten genommen wird, sondern "A7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx54  IP.W...    CN=SRV-EX-01". Also das SelfSigned-Zertifikat.

    Für mich ist das Ganze spätestens jetzt nicht mehr schlüssig. Ich erwarte ja doch irgendwie, dass irgendwo in einem konfigurierbaren Bereich (egal ob jetzt EAC od EMS) hervorgeht welches Zertifikat für welchen Connector verwendet wird.

    Einerseits wird hier erläutert, welches Zertifikat unter welchen Umständen genommen wird (6.ff), aber andererseits finde ich die SMTP-Dienst-Markierung ausschließlich an einem Zertifikat gebunden und nicht wie in einigen Tutorials aufgezeigt an mehreren Zertifikaten.
    Was denn nun, entweder es wird vernünftig und durchgängig logisch angezeigt, oder es wird nur einer angezeigt, dann aber der Default.

    In meinem Szenario macht er aber keins von beiden korrekt? Kann ja auch sein, dass ich das falsch verstehe, aber schlüssig ist das für mich so nicht.

    Jedenfalls schon mal danke und Grüße,

    D. Gaisar

    Montag, 23. April 2018 15:09
  • Ergänzung:

    Der SMTP-Sende-Connector verwendet jedenfalls laut Logs das neue Zertifikat 35xxxxA8 *.firma.de.

    Wenn ich das jetzt als Basis nehme, dürfte meines Erachtens nach dem Auslauf des o.g. alten Wildcardzertifikats A0xxxxxxAF nichts weiter passieren, da sowohl bei dem Sende, als auch bei den Empfangsconnectoren andere Zertifikate verwendet werden. Zudem exitiert ja ein gültiges Wildcard-Zertifikat auf dem Server.

    Annahme:

    Dann könnte ich mit "Enable-ExchangeCertificate -Thumbprint A0xxxxxxAF -Service none" dem Zertifikat den SMTP-Service entziehen und anschließend löschen - und alles ist gut.

    Aber:

    Mein eigentliches Problem ist ja, das ich nicht verstehe, warum ausgerechnet das einzige nicht verwendete Zertifikat den Service zugeordnet hat und alle anderen haben dieses Flag nicht, obwohl sie verwendet werden. Wenn jetzt bei 35xxxxxA8 und A7xxxxxxx54 zusätzlich SMTP aktiviert wäre, würde ich es ja noch verstehen.

    Vielen Dank für erhellende Erläuterungen.

    Grüße, Dan
    Dienstag, 24. April 2018 06:51
  • Hallo,

    es wäre schön, wenn noch jemand auf meinen letzten Post eingehen könnte.

    Wie im Eingangspost und im letzten Post dargestellt, erwarte ich aktuell nicht, dass das Mailsystem am Montag seinen Dienst einstellt - aber dennoch bleibt ein Restrisiko und eben der Punkt dass mich die Anzeige der Zuordnung des SMTP-Dienstes zu den Zertifikaten verunsichert.

    Vielen Dank.

    Dan

    Mittwoch, 25. April 2018 05:24