Frage zu Exchange 2013 Zertifikat Wechsel

[Dirk-HH-83 14]

Hallo, 

 

1. das RapidSSL Zertifikat läuft bald ab, jetzt ist ein neues AlphaSSL beschafft worden.
2. Es wurde am Exchange 2013 Server unter Vertrauenswürde Stammzertifizierungsstellen installiert.
3. Im IIS unter Default Web Site - > Sitebindungen - >  Port 443  wird das Zertifikat nicht angezeigt, nur die älteren.  Was mache ich da falsch?
   
    
4. Unter ECM ist das alte RapidSSL Zertifikat nicht zu sehen.
5. Meines Wissens nach müsste man das neue Zertifikat dort nur auswählen und danach müsste auf der OWA Seite das neue Zertifikat sichtbar sein.
6. Die bereits verbundenen iPhones müsste einen Meldung bekommen mit neues Zertifikat akzeptieren.

 

danke, gruß

dirk

bearbeitet 7. Oktober 2015 von Dirk-HH-83

[NorbertFe 1.805]

Wenn das ein Serverzertifikat ist, dann hat das unter "Vertrauenswürdige Stammzertifizierungsstellen" nichts zu suchen. Und im IIS solltest du sowieso nix mit Zertifikaten konfigurieren, wenn es um Exchange geht. Dazu gibt's eine GUI oder Powershell für Exchange, mit der das alles korrekt funktioniert.

 

Bye

Norbert

[Dirk-HH-83 14]

Es ist ein SSL Zertifikat, das auf  xxx.domaene.de lautet.   Es muss meines wissens nach möglichst der externe Helo-Mailhost-Name (mit PTR auf die feste-IP) des Exchange Servers sein und kein Phantasiename. 

 

Das externe bisherige bald auslaufende SSL Zertifikat (das man auf der OWA Seite auch sieht)  ist unter ECP/Server/Zertifkate nicht zu sehen. 

Sondern nur im IIS unter Serverzertifikate bzw. bei Default Web Seite  ->   Bindungen.   Was bedeutet das?

 

Wenn ich im IIS auf Zert-Anforderung abschließen gehen läßt es ich nur ein persönliches hinzufügen - kein Webhosting Zertifikat.

 

Vermute folgendes ist ganz falsch:   Import-ExchangeCertificate -FileData ([byte[]]$(Get-Content -Path "C:\zert2016\zertifikat.crt" -Encoding byte -ReadCount 0))

Meinem Verständnis nach müsste es dann im ECP sichtbar sein und man aktiviert es für die IIS Dienste. (und die Port 443 Bindung regelt sich damit vonselbst)

 

Bei dem neuen Zertifikat soll man m.W. nach  das SSL-Zertifikat und Zwischenzertifikat auf dem Server installieren, das klingt allerdings auch ziemlich falsch.

 

Das ist leider etwas verworren.      gruß dirk

bearbeitet 7. Oktober 2015 von Dirk-HH-83

[NorbertFe 1.805]

Warum nimmst du nicht die emc? Müsste doch einfacher gehen. Was ihr da konfiguriert habt, kann ich anhand deiner Schilderung nicht sagen. ;)

[Dirk-HH-83 14]

Achsoooo - der domainprovider hatte fieserweise den A-Record  von owa.kundendomaene.de  auf sich selbst geändert (im zuge des Kaufes) statt unverändert mit verweis auf die öffentliche telekom adresse des exchange server zu belassen

 

Ausserdem haben wir dann über OPEN SSL die CRT als PFX umgewandelt damit wir es mit IIS importieren können und es bei Bindungen auswählbar ist.

 

Fazit:  bei diesem Server war halt ein öffentliches/gekauftes Zertifikat im Einsatz direkt im IIS angebunden.

Dder einzige Vorteil ist, das bei Outlook Anywhere das Zertifikat nicht händisch installiert werden müsste und das man eine "gefälschte OWA Browserseite" erkennen könnte. 

 

Der Exchange Server hatet unter EMC / ECP halt nur seinen internen Zertifikate.

bearbeitet 8. Oktober 2015 von Dirk-HH-83

[NorbertFe 1.805]

Im IIS sollte man hinsichtlich Zertifikate für Exchange am besten gar nichts konfigurieren. SChrub ich schon oben. Wurde aber offenbar überlesen oder ignoriert.

 

Bye

Norbert