none
ExChange 2013 - Zertifikatprobleme

    Frage

  • Hallo Zusammen,

    ich habe folgendes Problem:

    Bei unserem ExChange sind demletzt die SSL-Zertifikate ausgelaufen. Anstatt Sie zu Erneuern, habe ich Sie dummerweise neu erstellt.

    Anforderung erstellt, an GoDaddy übermittelt, Anforderung abgeschlossen und Daten eingespielt.

    Das alte Zertifikat habe ich gelöscht. Ich habe auch geprüft das dem neuen Zertifikat die Dienste zugeordnet werden.

    Auch habe ich bestätigt das das neue Zertifikat als Standard genutzt werden soll anstelle des abgelaufenen alten Zertifikates.

    Über den Befehl Get-ExchangeCertificate wird mir das neue Zertifikat auch richtig angezeigt mit den jeweils zugeordneten Diensten.

    Nun zum Problem / Phänomen:

    Die Mobil Clients (Android / iOS) melden immer noch das das alte, ersetzte und gelöschte Zertifikat abgelaufen ist und die Clients ziehen sich auch nicht das neue Zertifikat.

    Ähnlich verhält es sich bei den PC's. Einige PC's melden immer noch das das Zertifikat abgelaufen ist, obwohl es das Zertifikat nicht mehr gibt. Im Zertifikatsspeicher der Laptops konnte ich auch das alte Zertifikat finden und löschen. Trotzdem wird mir immer noch angezeigt das das alte, nicht mehr vorhandene Zertifikat abgelaufen ist.

    Einen IIS Reset habe ich shcon durchgeführt und ein Serverneustart wurde auch schon über die Nacht geplant.

    Vielleicht hat Jemand eine Idee....

    Mit freundlichen Grüßen

    Jan F.

    Mittwoch, 2. Mai 2018 15:02

Antworten

  • Guten Morgen,

    das Problem war das die Clients sich das Zertifikat nicht bekommen haben.

    Herr Wille hat beschrieben das der Server das Zertifikat ausrollt, was dieser aus irgendeinem Grund aber nicht getan hat. Habe das Zertifikat dann per GPO ausgerollt und diese Erzwungen.

    Seit dem keine Meldung mehr.

    Gruß Jan F.

    • Als Antwort markiert Jan_dBF Dienstag, 22. Mai 2018 08:36
    Dienstag, 22. Mai 2018 08:36

Alle Antworten

  • Es gibt Zertifikate auf Computer und Benutzerebene. Ggf. steckt da halt noch irgendwo was fest.
    Mittwoch, 2. Mai 2018 15:53
  • Moin,

    bei den wenigen Informationen ist es eher raten.

    1. Im IIS die Bindungen überprüft?

    2. Ist da ein Netzwerkgeräte (Firewall, Proxy, Load Balancer) zwischen Exchange und Client, der noch das alte Zertifikat hat?

    3. Welches Zertifikat wird angezeigt, wenn OWA aufgerufen wird.

    4. Sind alle URLs der vDirs korrekt gesetzt und landen auch wirklich bei Exchange?

    Aktionen auf dem Client sind übrigens nicht notwendig. Werder "ziehen" sich Clients ein Zertifikat noch gehört dieses in den Client-Store und muss dort irgendwie gelöscht werden. Der Server liefert ein Zertifikat aus und alles, was Du sicherstellen musst, ist dass dieses für die Clients ohne Eingriffe vertrauenswürdig ist.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 2. Mai 2018 16:25
  • Guten Tag,

    danke für die schnellen Antworten. Ich arbeite die Punkte einfach mal kurz ab:

    zu 1.) Im IIS ist in der Bindung des https das richtige Zertifikat hinterlegt. Hier hab ich 2 Verbindungen für https. Eine mit eingetragener IP "localhost" und eine ohne Eintrag. Beide verwenden das neue Zertifikat.

    zu 2.) Nein zwischen Exchange und Clients befindet sich nichts dergleichen. Es befindet sich lediglich eine Firewall und ein Proxy zum Datenverkehr nach außen.

    zu 3.) Wenn ich den OWA aufrufe wird komischerweise noch das alte, abgelaufene Zertifikat angezeigt. Meine Frage ist nun, wo kann ich das ändern?

    zu 4.) Ändern sich die URL's der vDir wenn ich ein Zertifikat ändere oder neu erstelle? Mit dem alten Zertifikat lief ja alles ohne Probleme. Ich Genie hab halt einfach auf Zertifikat erstellen gedrückt anstatt auf Erneuern... Aber ich hab die Verzeichnisse nochmals kontrolliert. Sie landen alle auf unserem Exchange.

    Ich hab mich mit dem "ziehen" falsch ausgedrückt. Mir wird bei dem Start von Outlook oder beim Verbinden eines Mobil Clients immer der Zertifikats-Fehler angezeigt, dass das Zertifikat abgelaufen ist.

    Mit freundlichen Grüßen

    Jan F.


    • Bearbeitet Jan_dBF Freitag, 4. Mai 2018 09:28
    Freitag, 4. Mai 2018 09:27
  • Moin,

    > Wenn ich den OWA aufrufe wird komischerweise noch das alte, abgelaufene Zertifikat angezeigt. Meine Frage ist nun, wo kann ich das ändern?

    in Exchange, in dem das neue Zertifikat dem IIS/Web zugewiesen wird. Geht per GUI oder Shell.

    Was bringt denn ein "Get-ExchangeCertificate -Server sv4711 | fl Thumbprint,Services,Subject,iisservices"?

    > Ändern sich die URL's der vDir wenn ich ein Zertifikat ändere oder neu erstelle? Mit dem alten Zertifikat lief ja alles ohne Probleme.

    Nein. Wenn sie aber bereits vorher verkehrt waren, sind sie es danach auch.

    Hypothetisch gedacht: Die URL zeigen gar nicht auf Exchange, sondern auf einen anderen Server, der das gleiche Zertifikat nutzt. Dann ändert es natürlich nichts, wenn das Zertifikat im Exchange geändert wird.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)


    Freitag, 4. Mai 2018 09:36
  • Hallo,

    wenn ich den Befehl ausführe werden mir die 4 Zertifikate des Servers aufgeführt.

    Thumbprint  : 90598509B586AEC598BB9F503D2E8028A009B89B
    Services    : IMAP, POP, IIS, SMTP
    Subject     : CN=autodiscover.dbfkh.de, OU=Domain Control Validated
    IisServices : {IIS://bf-ex-01/W3SVC/1}

    Thumbprint  : 3B7E05461CC51050F7EED98E5AEC513B970EA57C
    Services    : SMTP
    Subject     : CN=Microsoft Exchange Server Auth Certificate
    IisServices : {}

    Thumbprint  : 8D849C760B4C66B49AA8FD33EF6D74404540B319
    Services    : IIS, SMTP
    Subject     : CN=bf-ex-01
    IisServices : {IIS://bf-ex-01/W3SVC/2}

    Thumbprint  : EF23506C195A92BCC060F6B4E44BE4578CCE86C5
    Services    : None
    Subject     : CN=WMSvc-BF-EX-01
    IisServices : {}

    Das obere Zertifikat ist das neue SSL-Zertifikat. Die anderen 3 sind vom Exchange selbstsignierte. Der IIS ist zwar bei beiden Zertifikaten zugewiesen, aber als Zertifikatfehler wird mir immer ein altes, abgelaufenes angezeigt. Diese 4 sind eigentlich alle gültig (laut ecp).

    Gruß Jan F.

    Freitag, 4. Mai 2018 10:37
  • Guten Morgen,

    gibt es vielleicht noch Ideen?

    Gruß Jan

    Freitag, 11. Mai 2018 07:05
  • Hallo,

    hab das Problem mit Hilfe eines externen Administrators gelöst. Kann geschlossen werden.

    Trotzdem danke für die Hilfe.

    Gruß Jan


    • Bearbeitet Jan_dBF Donnerstag, 17. Mai 2018 16:26
    Donnerstag, 17. Mai 2018 16:25
  • Hallo,

    hab das Problem mit Hilfe eines externen Administrators gelöst. Kann geschlossen werden.

    Trotzdem danke für die Hilfe.

    Gruß Jan


    Moin,

    "geschlossen" wird hier, indem Du 

    • entweder die Beiträge, die geholfen haben, als Hilfreich bzw. als Lösung markierst,
    • oder, wenn Du die Lösung selbst herbeigeführt hast, diese hier skizzierst.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 17. Mai 2018 18:02
  • Guten Morgen,

    das Problem war das die Clients sich das Zertifikat nicht bekommen haben.

    Herr Wille hat beschrieben das der Server das Zertifikat ausrollt, was dieser aus irgendeinem Grund aber nicht getan hat. Habe das Zertifikat dann per GPO ausgerollt und diese Erzwungen.

    Seit dem keine Meldung mehr.

    Gruß Jan F.

    • Als Antwort markiert Jan_dBF Dienstag, 22. Mai 2018 08:36
    Dienstag, 22. Mai 2018 08:36
  • Herr Wille hat beschrieben das der Server das Zertifikat ausrollt, was dieser aus irgendeinem Grund aber nicht getan hat. Habe das Zertifikat dann per GPO ausgerollt und diese Erzwungen.

    Moin,

    da hast Du Robert aber missverstanden ;-)

    Der Server rollt das Zertifikat nicht aus, sondern, wie bei jeder SSL-geschützten Kommunikation, präsentiert der Server bei Verbindungsaufbau das Zertifikat. Sprich: Den Clients muss nicht das konkrete Zertifikat des Servers mitgeteilt werden, sondern die Vertrauenskette muss stimmen. Und das hat Robert mit

    > alles, was Du sicherstellen musst, ist dass dieses für die Clients ohne Eingriffe vertrauenswürdig ist.

    auch korrekt spezifiziert. Offensichtlich war die Vertrauenskette bei Dir aber nicht da, daher musste die ausstellende CA bzw. deren Root per GPO als vertrauenswürdig erklärt werden.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 22. Mai 2018 08:47
  • > Herr Wille hat beschrieben das der Server das Zertifikat ausrollt, was dieser aus irgendeinem Grund aber nicht getan hat. Habe das Zertifikat dann per GPO ausgerollt und diese Erzwungen.

    Hmmmm... Ich zitiere mich mal selbst aus meinem Beitrag vom 02.05.. Wichtige Stellen, die im direkten Widerspruch zu Deiner Aussage hier stehen, habe ich auch mal markiert.

    > Aktionen auf dem Client sind übrigens nicht notwendig. Werder "ziehen" sich Clients ein Zertifikat noch gehört dieses in den Client-Store und muss dort irgendwie gelöscht werden. Der Server liefert ein Zertifikat aus und alles, was Du sicherstellen musst, ist dass dieses für die Clients ohne Eingriffe vertrauenswürdig ist.

    (Kleine technische Einschränkung: Bei CBA brauchen die Clients natürlich ein persönliches Zertifikat, dass ihnen auch irgendwie ausgeliefert werden muss, davon war in diesem Thread aber keine Rede.)


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 22. Mai 2018 08:54