Exchange 2010 -> GUI Neues Exchange Zertifikat wird nicht fertig

[Ebenezer 13]

Hi,

 

auf einem SBS 2011 sind das CA-Zertifikat und Exchange Zertifikat abgelaufen. Ich habe zunächst das CA-Zertifikat via mmc erneuert und anschließend die CA auf SHA2 umgestellt: certutil -setreg ca\csp\CNGHashAlgorithm SHA256. Das abgelaufene Exchange Zertifikat kann ich nicht erneuern, deshalb wollte ich ein neues erstellen. Leider wird der Assistent nicht fertig (der Balken wandert lustig hin und her). Per Powershell geht es auch nicht. Wenn ich https://servername/certsrv oder https://servername/owa eingebe, dann wird ein Zertifikatsfehler angezeigt aber die Schaltfläche fortsetzen (IE11) fehlt. Ich habe den Server neugestartet (ohne Veränderung) und anschließend wollte ich die CA wieder zurückstellen: certutil -setreg ca\csp\CNGHashAlgorithm SHA1. Leider ändert das gar nichts. Jetzt weiß ich nicht mehr weiter. Hat das eine (certutil) überhaupt etwas mit dem anderen (Zertifikat lässt sich nicht mehr anfordern)? Danke! Nico

 

[Nobbyaushb 1.354]

Moin,

 

was sprechen denn die Logs?

 

Beim SBS ist das Root-Cert meines Wissens auch das Cert für den Exchange.

 

Auf die schnelle diese Anleitung gefunden:

https://it.mzedan.com/2012/07/18/certificates-for-exchaneg-2010-using-internal-ca/

 

;)

[Ebenezer 13]

In welchen Logs soll ich gucken? Ich habe den Assistenten über Nacht stehen lassen und jetzt steht da:

 

Beim ausführen von Daten für einen Remotebefehl ist folgender Fehler aufgetreten: der WinRM -Client kann den Vorgang innerhalb der angegebenen Zeit nicht abschließen ...

[Nobbyaushb 1.354]

Start - ausführen - eventvwr

 

Die summierten Fehler werden in der Übersicht gelistet.

 

:)

 

Und wenn das WinRM sein sollte:

http://www.msxfaq.de/exchange/admin/winrm.htm

bearbeitet 25. November 2016 von Nobbyaushb

[Ebenezer 13]

Ich komme nicht weiter. Ich haben nun über die SBS-Konsole nach Netzwerkfehlern gesucht und es wurde auch ein Problem mit dem selbst erstellten Zertifikat erkannt. Wenn man probiert den Fehler zu beheben erscheint: Das selbst ausgebene Zertifikat wird erneut ausgeben ... doch es passiert nichts ... in der Datei fncw.log steht:

 

[19932] 161129.163111.1979: CoreNet:  --- Start fixing certificate error CERT_SELFCERT_INVALID

[19932] 161129.163111.1989: CoreNet: SBS apps website name is Sites

[19932] 161129.163111.2049: CoreNet: Look for cert in My

[19932] 161129.163111.2049: CoreNet: Subject: SITES

[19932] 161129.163111.2049: CoreNet: Timespan 30.00:00:00

[19932] 161129.163111.2049: CoreNet: Opening Store

[19932] 161129.163111.2069: CoreNet: Finding cert from collection of 12

[19932] 161129.163111.2099: CoreNet: Getting root cert

[19932] 161129.163111.2159: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA

[19932] 161129.163111.2259: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA

[19932] 161129.163111.2299: CoreNet: Converting to bytes

[19932] 161129.163111.2299: CoreNet: certcoll.Count: 6

[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA

[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.

[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=FS01.KANZLEI.LOCAL

[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.

[19932] 161129.163111.2299: CoreNet: Cert Subject: OU=DATEVSERVICECERT3928442FA48B42579EB7D0A2E3DA4C1E_V001, CN=FS01

[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.

[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=WMSVC-WIN-VFAGIFB99J0

[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.

[19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA

[19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it.

[19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA

[19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it.

[19932] 161129.163111.2309: CoreNet: Closing Store

[19932] 161129.163111.2319: CoreNet: Restart certificate service to apply the current CA settings

[19932] 161129.163111.6230: CoreNet: Getting root cert

[19932] 161129.163111.6290: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA

[19932] 161129.163111.6310: CoreNet: Retry after server was unavailable

[19932] 161129.163121.6320: CoreNet: Getting root cert

[19932] 161129.163121.6370: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA

[19932] 161129.163121.6460: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA

[19932] 161129.163121.6490: CoreNet: Converting to bytes

[19932] 161129.163121.6500: CoreNet: Create leaf cert for SBS apps website Sites

[19932] 161129.163121.6550: CoreNet: CommonName: Sites

[19932] 161129.163121.6570: CoreNet: CN to validate: CN=Sites,

[19932] 161129.163121.6570: CoreNet: Returning CN of CN=Sites,

[19932] 161129.163121.6570: CoreNet: sCommonName: CN=Sites,

[19932] 161129.163121.6620: CoreNet: Creating Request

[19932] 161129.163121.6630: CoreNet: CA Name is: kanzlei-FS01-CA

[19932] 161129.163121.6630: CoreNet: CA Name: kanzlei-FS01-CA

 

Kann es sein, dass er das root cert nicht findet? Er guckt in MyCert, findet dort 12 Zertifikate und vergleicht nun das "cert subject" und hier geht was schief. Ich habe ein paar mal der Zertifizierungsstellen Zertifikat erneuert, kann dass das Problem sein? Deshalb existieren unter MyCert überhaupt so viele Zertifikate. Kann ich die CA notfalls de- und neuinstallieren? Bin für jeden Hinweis dankbar!

[Nobbyaushb 1.354]

 

Kann es sein, dass er das root cert nicht findet? Er guckt in MyCert, findet dort 12 Zertifikate und vergleicht nun das "cert subject" und hier geht was schief. Ich habe ein paar mal der Zertifizierungsstellen Zertifikat erneuert, kann dass das Problem sein? Deshalb existieren unter MyCert überhaupt so viele Zertifikate. Kann ich die CA notfalls de- und neuinstallieren? Bin für jeden Hinweis dankbar!

 

Ja, du könntest die Root-CA entfernen und neu hochziehen.

 

Allerdings kann ich dir nicht sagen, welche Auswirkungen das auf den Rest vom SBS hat - im Zweifelsfall lieber reparieren.

 

Erst einmal die ganzen Zert löschen, die du nicht brauchst oder bei denen der Name nicht stimmt.

 

Ggf. ist es wirklich besser, wenn sich das mal jemand vor Ort ansieht....

 

:rolleyes:

[testperson 1.527]

Hi,

 

du hast das RootCA erneuert und dann die CA auf SHA256 migriert? Hast du dann nochmal das Zertifikat erneuert? Siehe: https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/

Wenn das Root dann SHA256 ist -> https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zertifizierungsstelle-ca/ ab "Anpassen der Zertifikatsvorlage für Exchange SAN Zertifikate" (Im alten Zertifikat prüfen, was alles als SAN benötigt wird).

 

Je nachdem ists noch einfacher / schneller den SBS auf SplitDNS zu konfigurieren und dann einen CSR zu genereieren sowie ein Zertifikat zu kaufen.

 

Gruß

Jan

[Ebenezer 13]

Hallo Jan, ja ich habe das Zertifikat nach der Umstellung auf SHA256 noch mal erfolglos erneuert ... über Split-DNS habe ich auch schon nachgedacht ... da ich über Exchange ja auch kein CSR mehr erstellen kann bleibt nur der Weg den CSR mit einem anderen Tool zu machen und dann zu importieren, oder? Dann per Gruppenrichtlinie die Outlookprofile umstellen und fertig? Danke, Nico

[testperson 1.527]

Die Artikel, insbesondere den 2ten, hast du schon komplett gelesen?

Erfolglos erneuert ist eine gute Fehlerbeschreibung..

 

Ansonsten:

 

Ggf. ist es wirklich besser, wenn sich das mal jemand vor Ort ansieht....

[Ebenezer 13]

Jetzt hab ich mir Deinen zweiten Link angesehen und ich konnte auf diesem Weg, ich habe das bisher immer über Neues-Exchange Zertifikat -> einreichen bei CertSRV -> Anforderung abschließen gemacht, tatsächlich ein neues Zertifikat erstellen und den Exchange-Diensten zuweisen. Warum der übliche Weg nach wie vor nicht funktioniert ist mir jetzt erst mal egal. Danke nochmals!

[testperson 1.527]

Manchmal muss man Links auch lesen / durcharbeiten. Gebratene Täubchen fliegen einem selten in den Mund.

Aber gut, dass es jetzt funktioniert..

[Nobbyaushb 1.354]

Ich würde trotzdem über den Erwerb eines externen Zertifikates nachdenken, die kosten heute kaum noch was.

 

Und Split-DNS sauber einrichten, auch wenn es ein SBS ist.

 

;)

[testperson 1.527]

Und Split-DNS sauber einrichten, auch wenn es ein SBS ist.

Das macht der SBS größtenteils sogar automagisch. Sofern die Assistenten benutzt wurden.