Zum Inhalt wechseln


Foto

Zertifikat abgelaufen - was nun?


  • Bitte melde dich an um zu Antworten
14 Antworten in diesem Thema

#1 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 11. Januar 2016 - 06:59

Moin zusammen,

folgendes Problem:

 

Wir betreiben eine PKI über mehrere Standorte hinweg.

In dieser PKI wurden durch einen externen Dienstleister bei der Implementierung Zertifikate für unsere Mailserver erstellt.

Leider sind diese abgelaufen, da wir es versäumt haben, diese rechtzeitig zu verlängern.

 

Nun habe ich von dem Mailserver aus ein neues Zertifikat erstellt, dieses wurde vom PKI-Server auch ausgestellt.

Der Mailserver identifiziert sich gegenüber den Clients aber nach wie vor mit dem abgelaufenen Zertifikat.

 

Folgendermaßen bin ich vorgegangen:

  1. Beantragung eines neuen Zertifikats aus dem IIS [Serverzertifikate] des Exchange heraus.
  2. Nach Ausstellung des neuen Zertifikats habe ich aus der IIS-Konsole "Zertifikate" dieses exportiert, und im Zertifikatsmanager des Exchangeservers (Computerzertifikate) in "Eigene Zertifikate" importiert.

Das neue Zertifikat wird im PKI-Server als ausgestellt, signiert und gültig angezeigt, aber beim Verbindungsaufbau der Outlook-Clients mit dem Exchange wird nach wie vor das alte, abgelaufene Zertifikat angezeigt/verwendet, mit OWA verhält es sich genauso.

 

Ich habe jedoch das alte Zertifikat auf dem PKI-Server noch nicht gesperrt oder gelöscht.

 

Wie muss ich nun vorgehen, damit die Clients wieder ein gültiges Zertifikat zu sehen bekommen.

 

Vielen Dank für Eure konstruktiven Vorschläge.

 

Euer Friesenjunge



#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 11. Januar 2016 - 07:04

Moin,

Finger weg vom IIS bei einem Exchange!

 

Welche Version hast du laufen?

 

Beim 2007er musste man das noch über die Shell machen, seit 2010 gibt es eine GUI.

http://blog-schulenb...e-build-nummern

 

Dann kann ich dir weiterhelfen.

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#3 testperson

testperson

    Board Veteran

  • 4.511 Beiträge

 

Geschrieben 11. Januar 2016 - 07:05

Hi,

 

du solltest am Exchange die Zertifikate und Bindungen nicht im IIS bearbeiten. Mit "Get-ExchangeCertifiacete" solltest du alle Zertifikate in der EMS angezeigt bekommen. Mit "Enable-ExchangeCertificate -Thumdbrint <Thumbrint> -Services <Dienste>" solltest du das neue Zertifikat entsprechende an die Dienste gebunden bekommen.

 

Oder wie Nobbyaushb schrub ab Exchange 2010 in der GUI. Die Shell ist aber schneller ;)

 

Gruß

Jan


Bearbeitet von testperson, 11. Januar 2016 - 07:06.

Good morning, that's a nice TNETENNBA!

#4 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 11. Januar 2016 - 07:20

Moin und herzlichen Dank für die schnellen Antworten!

 

Wir setzen eine Exchange 2010 Standard ein: 14.030181.006

 

Der Befehl "Get-ExchangeCertificate" zeigt mir das von mir neu im IIS erstellte Zertifikat an.

 

Wir wollen das Zertifikat für OWA und Outlook-Verbindungen einsetzen. Welche Dienstbezeichnung muss ich denn dann verwenden, um das Zert mit "Enable-ExchangeCert..." zu binden?

 

Ich habe mir die Hilfe des cmdlets aufgerufen.

Hier werden mehrere Dienste aufgelistet:

  • IMAP (klar)
  • POP (klar)
  • UM (Unified Messaging?)
  • IIS (wohl OWA)
  • SMTP (klar)
  • Federation (Was ist das?)

Ich würde nun in der EMS folgenden Befehl eingeben und abschicken:

 

Enable-ExchangeCertificate -Thumbprint <Fingerprint des Zertifikats> -Services POP,IMAP,SMTP,IIS

 

Korrekt?
 

 

Danke, bis hierhin habt Ihr mir schon einen entscheidenden Schritt weitergeholfen!

 

[Nachtrag]

Ich liebe dieses Forum!

[/Nachtrag]


Bearbeitet von Friesenjunge, 11. Januar 2016 - 07:30.


#5 testperson

testperson

    Board Veteran

  • 4.511 Beiträge

 

Geschrieben 11. Januar 2016 - 07:36

Hi,

 

im Zweifelsfall bindest du das neue Zertifikat an die gleichen Dienste wie das alte ;)

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#6 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 11. Januar 2016 - 07:43

Danke Jan!

 

Das ist interessant:

In der EMS werden mir bei dem alten Zertifikat die Dienste "IP.WS." angezeigt, welche ich im TechNet nicht finden kann...



#7 testperson

testperson

    Board Veteran

  • 4.511 Beiträge

 

Geschrieben 11. Januar 2016 - 07:46

I -> IMAP; P -> POP; W -> Web (IIS); S -> SMTP dürfte das sein wink.gif


Bearbeitet von testperson, 11. Januar 2016 - 07:46.

Good morning, that's a nice TNETENNBA!

#8 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 11. Januar 2016 - 07:47

Moin,

ich weiß, verwirrend.

I steht für Imap

P für Pop

W für Webservices (IIS!!!)

S für SMTP

 

wink.gif

 

Hehe - doppelte Antwort :D


Bearbeitet von Nobbyaushb, 11. Januar 2016 - 07:47.

Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#9 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 11. Januar 2016 - 07:47

OK, Exchange scheint hier wohl etwas faul zu sein...

 

Danke!

Ich teste das und melde mich wieder.



#10 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 11. Januar 2016 - 08:02

Dem kannst du nachhelfen, am CMD -> IISreset /noforce

 

Kommt aber auch von selber, spätestens bei nächsten reboot ;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#11 Sunny61

Sunny61

    Expert Member

  • 22.096 Beiträge

 

Geschrieben 11. Januar 2016 - 08:04

Altes abgelaufenes Zertifikat am Exchange dann löschen, erst dann war bei uns auch alles in Ordnung an bzw. mit den Clients.


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#12 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 11. Januar 2016 - 08:24

So, als erstes: Herzlichen Dank an Norbert (aus HB) und Jan für die entscheidenden Tipps!

 

Ich habe nun auf den beiden betroffenen Exchange die neu erstellten Zertifikate an die Dienste gebunden.

Erste Tests ergaben, dass über OWA unmittelbar nach der Aktion schon die neuen Zertifikate verwendet wurden, bei der Verbindung mit Outlook dauerte es ein paar Minuten.

 

@Sunny: Alte Zertifikate sind nach erfolgreicher Bindung in der EMS von mir gelöscht worden.

 

Gestattet mir bitte eine letzte Frage:

Muss ich auch über die EMS aktiv werden, wenn ich die Zertifikate rechtzeitig vor Ablauf verlängere? Oder bekommt der Exchange das mit, da das Zertifikat sich (vom Fingerprint her) nicht ändert?

 

Viele Grüße von der Nordseeküste/dänische Grenze

Friesenjunge



#13 testperson

testperson

    Board Veteran

  • 4.511 Beiträge

 

Geschrieben 11. Januar 2016 - 08:30

https://technet.micr...exchg.141).aspx

 

BTW: Ist es einfacher für beide Exchange das gleiche Zertifikat zu nutzen.


Bearbeitet von testperson, 11. Januar 2016 - 08:33.

Good morning, that's a nice TNETENNBA!

#14 NorbertFe

NorbertFe

    Expert Member

  • 30.601 Beiträge

 

Geschrieben 11. Januar 2016 - 08:36

Ja da musst du immer ran.

Make something i***-proof and they will build a better i***.


#15 Friesenjunge

Friesenjunge

    Newbie

  • 84 Beiträge

 

Geschrieben 11. Januar 2016 - 09:12   Lösung

Alles klar, danke.

Somit ist das Thema für mich gelöst und ebenso markiert ;)