Jump to content
Sign in to follow this  
xGismo

10 & Zertifikat

Recommended Posts

Hallo,

 

ich hoffe jemand hat einen Rat für mich. Weil mein externer Dienstleister mich schon seit längere Zeit in Stich lässt. Mir aber langsam dieser Fehler im Log echt auf den Nerv geht und es auf Dauer bestimmt nicht gut ist. ;)

 

TLS ist nicht aktiviert. Aber folgender Fehler erscheint troztdem.

 

MSExchangeTransport // EventID 12014

 

Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "xxx" im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "yyy" mit einem FQDN-Parameter von "xxx" nicht unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.

 

Dieser Fehler kam direkt nach der Installation bzw. Einrichtung. Dann hat mein extener ein neues einfachs besorgt und dieses installiert. Fehlermeldung blieb. Weitere Hilfe auch. ;)

 

Alle 15 Minuten steht dies im Log. Nachts eher Stündlich und weniger.

 

Habe schon einiges im Netz gefunden, aber entweder hat es nicht geklappt oder ich habe es falsch verstanden. Vielleicht kennt ja jemand das Problem.

Wir haben keine Externen User (Nur über VPN die dann direkt local auf den Exchange zugreifen) die direkt auf den Exchange zugreifen.

 

Vielen Dank für Eure Mühe.

 

Viele Grüße

Gismo

Share this post


Link to post

Und was stört dich daran? ;) StartTLS benutzen sowieso die wenigsten. Wenn du jetzt ein passendes Zertifikat hast (die wichtigen Parameter hast du ja ausge-xxxt), dann aktiviere es per Powershell für den SMTP Service (in Exchange 2010 kannst du es auch in der EMC aktivieren).

 

Bye

Norbert

Share this post


Link to post

xxx ist unsere Domäne bzw. die Adresse für den MailServer email.usw. und yyy war natürlich nicht nötig, ist einfach "Internet" der Sendeconnector. :)

 

In der Powershell ist es aktiviert, bzw. sollte der Dienstleister gemacht haben. Konnte es per Remote nur halb verfolgen.

 

In der EMC ist es auch zu aktiveren, suche ich mal.

 

 

edit:

Soweit so gut.

Leider steht nun in der EMC neben der email Zertifikat - Der Zertikatstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung keinen Erfolg hatte

Edited by xGismo

Share this post


Link to post

Na was das wohl bedeuten könnte. ;) ohne gültiges Zertifikat bleibt halt die Fehlermeldung. Von wem wurde das Zertifikat denn ausgestellt? Ist das ein gekauftes?

 

Bye

Norbert

Share this post


Link to post

Mir ist das doch klar, warum diese Fehlermeldung kommt. Nur irgendwie bekomme ich es nicht richtig aktiviert.

 

Der Ext. Dienstleister hat es für uns ausgestellt. CA01. Also kein gekauftes. Nur leider war er ein wenig unfähig dies auch richtig einzubinden. Die letzte Aussage war dann, es müßte so eigentlich laufen...

Share this post


Link to post

ok nochmal von vorn. ;) Du nutzt also ein internes selbstsigniertes Exchangezertifikat, oder? Falls ja, dann ist es doch ein leichtes per Powershell einfach ein neues auszustellen, welches alle die Namen (SAN als Stichwort) enthält, die dein Server hat. Also FQDN intern, Netbios Name und FQDN extern. So schwer ist das nicht. ;) Leider kannst du dafür nicht den Wizard benutzen um das zu erstellen, weil der immer ein -generaterequest mit einbaut. Aber die Zeile kannst du dir kopieren und das dann ohne den Request in Powershell erstellen. Danach dann nur noch das neue Zertifikat aktivieren und alles ist gut.

 

 

Bye

Norbert

Share this post


Link to post

Vielen Dank noch mal für deine Mühe. Das Zertifikat hat der Dienstleister mitgebracht, weil wir keinen Zertifizierungsserver in unserer Domäne haben.

 

Wir erstelle ich also am Praktischen eins? ;)

Share this post


Link to post

"interne CA" Hab ich doch (PKI) keinen. :) "Leider kannst du dafür nicht den Wizard benutzen um das zu erstellen" Hat der Norbert geschrieben. Deswegen komme ich mit deiner Anleitung nicht weit.

Share this post


Link to post

Der Norbert hat aber auch geschrieben:

Aber die Zeile kannst du dir kopieren und das dann ohne den Request in Powershell erstellen. Danach dann nur noch das neue Zertifikat aktivieren und alles ist gut.

 

Bye

Norbert

Share this post


Link to post

Wenn Du meine Anleitung (= das ist der Wizard drin) und Norberts Information "kopiere die richtige Zeile und führe sie in der Shell aus" geschickt kombinierst, ist das die Lösung.

 

"interne CA" Hab ich doch (PKI) keinen. :) "Leider kannst du dafür nicht den Wizard benutzen um das zu erstellen" Hat der Norbert geschrieben. Deswegen komme ich mit deiner Anleitung nicht weit.

 

Dann installiere eine PKI. Dauert fünf Minuten...

Share this post


Link to post

Noch eine letzte Frage (Hoffe ich) und danke noch mal für die Mühen. Wäre das möglich das ich PKI auf den Exchange Server installiere? Oder sollte man dies nicht tun. Alle anderen Server werden in den nächsten Wochen von 2003R2 auf 2008R2 umgerüstet. So wäre immerhin der PKI schon mal dauerhaft vorhanden. ;)

Share this post


Link to post

Ich würde es nicht tun. Wenn du sowieso die nächste Zeit updatest, kannst du auch noch warten. Es geht ja auch einfach mit einem selfsigned certificate. Ich weiß gar nicht, warum du da so lange rummachst. ;)

 

Bye

Norbert

Share this post


Link to post

Weil ich mit jeder Anfang weiter verwirrt bin. :) Hatte die Anleitung überfolgen und war der Meinung ich MUSS ein PKI haben.

 

Manchmal steht man Tagelang auf der Leitung. ;)

 

Edit:

Ich hätte vielleicht einfach Fragen sollen, WIE mache ich ein selfsigned certificate.

 

Get-ExchangeCertificate -Thumbprint xxxx | New-ExchangeCertificate

 

und schon ist es fertig. Nun habe ich auch verstanden das es keine Minute dauert. Was die kopieren sollte etc. habe ich alles verstanden nur ich depp, nicht wo. ;) Mit Get-ExchangeCertificate wurde es mir ja angezeigt, das ich es damit auch signieren kann. Hatte ich nicht verstanden.

 

Vielen Dank noch mal. Schönes Wochenende :)

Edited by xGismo
Nachtrag.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...