Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Friesenjunge

Zertifikat abgelaufen - was nun?

Empfohlene Beiträge

Moin zusammen,

folgendes Problem:

 

Wir betreiben eine PKI über mehrere Standorte hinweg.

In dieser PKI wurden durch einen externen Dienstleister bei der Implementierung Zertifikate für unsere Mailserver erstellt.

Leider sind diese abgelaufen, da wir es versäumt haben, diese rechtzeitig zu verlängern.

 

Nun habe ich von dem Mailserver aus ein neues Zertifikat erstellt, dieses wurde vom PKI-Server auch ausgestellt.

Der Mailserver identifiziert sich gegenüber den Clients aber nach wie vor mit dem abgelaufenen Zertifikat.

 

Folgendermaßen bin ich vorgegangen:

  1. Beantragung eines neuen Zertifikats aus dem IIS [serverzertifikate] des Exchange heraus.
  2. Nach Ausstellung des neuen Zertifikats habe ich aus der IIS-Konsole "Zertifikate" dieses exportiert, und im Zertifikatsmanager des Exchangeservers (Computerzertifikate) in "Eigene Zertifikate" importiert.

Das neue Zertifikat wird im PKI-Server als ausgestellt, signiert und gültig angezeigt, aber beim Verbindungsaufbau der Outlook-Clients mit dem Exchange wird nach wie vor das alte, abgelaufene Zertifikat angezeigt/verwendet, mit OWA verhält es sich genauso.

 

Ich habe jedoch das alte Zertifikat auf dem PKI-Server noch nicht gesperrt oder gelöscht.

 

Wie muss ich nun vorgehen, damit die Clients wieder ein gültiges Zertifikat zu sehen bekommen.

 

Vielen Dank für Eure konstruktiven Vorschläge.

 

Euer Friesenjunge

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

du solltest am Exchange die Zertifikate und Bindungen nicht im IIS bearbeiten. Mit "Get-ExchangeCertifiacete" solltest du alle Zertifikate in der EMS angezeigt bekommen. Mit "Enable-ExchangeCertificate -Thumdbrint <Thumbrint> -Services <Dienste>" solltest du das neue Zertifikat entsprechende an die Dienste gebunden bekommen.

 

Oder wie Nobbyaushb schrub ab Exchange 2010 in der GUI. Die Shell ist aber schneller ;)

 

Gruß

Jan

bearbeitet von testperson

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin und herzlichen Dank für die schnellen Antworten!

 

Wir setzen eine Exchange 2010 Standard ein: 14.030181.006

 

Der Befehl "Get-ExchangeCertificate" zeigt mir das von mir neu im IIS erstellte Zertifikat an.

 

Wir wollen das Zertifikat für OWA und Outlook-Verbindungen einsetzen. Welche Dienstbezeichnung muss ich denn dann verwenden, um das Zert mit "Enable-ExchangeCert..." zu binden?

 

Ich habe mir die Hilfe des cmdlets aufgerufen.

Hier werden mehrere Dienste aufgelistet:

  • IMAP (klar)
  • POP (klar)
  • UM (Unified Messaging?)
  • IIS (wohl OWA)
  • SMTP (klar)
  • Federation (Was ist das?)

Ich würde nun in der EMS folgenden Befehl eingeben und abschicken:

 

Enable-ExchangeCertificate -Thumbprint <Fingerprint des Zertifikats> -Services POP,IMAP,SMTP,IIS

 

Korrekt?
 

 

Danke, bis hierhin habt Ihr mir schon einen entscheidenden Schritt weitergeholfen!

 

[Nachtrag]

Ich liebe dieses Forum!

[/Nachtrag]

bearbeitet von Friesenjunge

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

ich weiß, verwirrend.

I steht für Imap

P für Pop

W für Webservices (IIS!!!)

S für SMTP

 

wink.gif

 

Hehe - doppelte Antwort :D

bearbeitet von Nobbyaushb

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

So, als erstes: Herzlichen Dank an Norbert (aus HB) und Jan für die entscheidenden Tipps!

 

Ich habe nun auf den beiden betroffenen Exchange die neu erstellten Zertifikate an die Dienste gebunden.

Erste Tests ergaben, dass über OWA unmittelbar nach der Aktion schon die neuen Zertifikate verwendet wurden, bei der Verbindung mit Outlook dauerte es ein paar Minuten.

 

@Sunny: Alte Zertifikate sind nach erfolgreicher Bindung in der EMS von mir gelöscht worden.

 

Gestattet mir bitte eine letzte Frage:

Muss ich auch über die EMS aktiv werden, wenn ich die Zertifikate rechtzeitig vor Ablauf verlängere? Oder bekommt der Exchange das mit, da das Zertifikat sich (vom Fingerprint her) nicht ändert?

 

Viele Grüße von der Nordseeküste/dänische Grenze

Friesenjunge

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×