Jump to content

Zertifikat abgelaufen - was nun?


Direkt zur Lösung Gelöst von Friesenjunge,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen,

folgendes Problem:

 

Wir betreiben eine PKI über mehrere Standorte hinweg.

In dieser PKI wurden durch einen externen Dienstleister bei der Implementierung Zertifikate für unsere Mailserver erstellt.

Leider sind diese abgelaufen, da wir es versäumt haben, diese rechtzeitig zu verlängern.

 

Nun habe ich von dem Mailserver aus ein neues Zertifikat erstellt, dieses wurde vom PKI-Server auch ausgestellt.

Der Mailserver identifiziert sich gegenüber den Clients aber nach wie vor mit dem abgelaufenen Zertifikat.

 

Folgendermaßen bin ich vorgegangen:

  1. Beantragung eines neuen Zertifikats aus dem IIS [serverzertifikate] des Exchange heraus.
  2. Nach Ausstellung des neuen Zertifikats habe ich aus der IIS-Konsole "Zertifikate" dieses exportiert, und im Zertifikatsmanager des Exchangeservers (Computerzertifikate) in "Eigene Zertifikate" importiert.

Das neue Zertifikat wird im PKI-Server als ausgestellt, signiert und gültig angezeigt, aber beim Verbindungsaufbau der Outlook-Clients mit dem Exchange wird nach wie vor das alte, abgelaufene Zertifikat angezeigt/verwendet, mit OWA verhält es sich genauso.

 

Ich habe jedoch das alte Zertifikat auf dem PKI-Server noch nicht gesperrt oder gelöscht.

 

Wie muss ich nun vorgehen, damit die Clients wieder ein gültiges Zertifikat zu sehen bekommen.

 

Vielen Dank für Eure konstruktiven Vorschläge.

 

Euer Friesenjunge

Link zu diesem Kommentar

Hi,

 

du solltest am Exchange die Zertifikate und Bindungen nicht im IIS bearbeiten. Mit "Get-ExchangeCertifiacete" solltest du alle Zertifikate in der EMS angezeigt bekommen. Mit "Enable-ExchangeCertificate -Thumdbrint <Thumbrint> -Services <Dienste>" solltest du das neue Zertifikat entsprechende an die Dienste gebunden bekommen.

 

Oder wie Nobbyaushb schrub ab Exchange 2010 in der GUI. Die Shell ist aber schneller ;)

 

Gruß

Jan

bearbeitet von testperson
Link zu diesem Kommentar

Moin und herzlichen Dank für die schnellen Antworten!

 

Wir setzen eine Exchange 2010 Standard ein: 14.030181.006

 

Der Befehl "Get-ExchangeCertificate" zeigt mir das von mir neu im IIS erstellte Zertifikat an.

 

Wir wollen das Zertifikat für OWA und Outlook-Verbindungen einsetzen. Welche Dienstbezeichnung muss ich denn dann verwenden, um das Zert mit "Enable-ExchangeCert..." zu binden?

 

Ich habe mir die Hilfe des cmdlets aufgerufen.

Hier werden mehrere Dienste aufgelistet:

  • IMAP (klar)
  • POP (klar)
  • UM (Unified Messaging?)
  • IIS (wohl OWA)
  • SMTP (klar)
  • Federation (Was ist das?)

Ich würde nun in der EMS folgenden Befehl eingeben und abschicken:

 

Enable-ExchangeCertificate -Thumbprint <Fingerprint des Zertifikats> -Services POP,IMAP,SMTP,IIS

 

Korrekt?
 

 

Danke, bis hierhin habt Ihr mir schon einen entscheidenden Schritt weitergeholfen!

 

[Nachtrag]

Ich liebe dieses Forum!

[/Nachtrag]

bearbeitet von Friesenjunge
Link zu diesem Kommentar

So, als erstes: Herzlichen Dank an Norbert (aus HB) und Jan für die entscheidenden Tipps!

 

Ich habe nun auf den beiden betroffenen Exchange die neu erstellten Zertifikate an die Dienste gebunden.

Erste Tests ergaben, dass über OWA unmittelbar nach der Aktion schon die neuen Zertifikate verwendet wurden, bei der Verbindung mit Outlook dauerte es ein paar Minuten.

 

@Sunny: Alte Zertifikate sind nach erfolgreicher Bindung in der EMS von mir gelöscht worden.

 

Gestattet mir bitte eine letzte Frage:

Muss ich auch über die EMS aktiv werden, wenn ich die Zertifikate rechtzeitig vor Ablauf verlängere? Oder bekommt der Exchange das mit, da das Zertifikat sich (vom Fingerprint her) nicht ändert?

 

Viele Grüße von der Nordseeküste/dänische Grenze

Friesenjunge

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...