SMTP-TLS Zertifikat Fehler 12016

[Moped 11]

Hallo Zusammen,

 

seit gestern habe ich den Fehler 12016 im Event-Log. Folgendes habe ich gemacht

Vor einem Monat als ich das erste mal im Event-Log sah dass das Cert am 14.04 abläuft habe ich eine neues erstellt und dieses auch installiert und den Diensten zugewiesen.

Was ich allerdings nicht beachtet habe, das "alte" zertifikat wurde von unserer internen Zertifizierungsstelle ausgestellt, das neue wurde vom Exchange ausgestellt

Bei der Erneuerung habe ich mit dem Befehl

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

das Zertifikat verlängert.

 

Kann das das Problem sein warum ich den o.g. Fehler bekomme?

 

Kann ich das jetzt gültige Zertifikat nachträglich durch meine Zertifizierungsstelle "genehmigen" oder muss ich ein komplett neues erstellen

 

Danke vorab

[testperson 1.859]

Hi,

 

gibt es das abgelaufene Zertifikat noch im Store? Welche Zertifikate sind denn wie an die Dienste gebunden?

Generell würde ich dir für Exchange ein Zertifikat einer kommerziellen CA ans Herz legen und SplitDNS empfehlen.

 

Gruß

Jan

[Moped 11]

Hallo,

 

ja, das abgelaufene ist noch da, ist nur in der Konsole mit einem roten Kreuz versehen.

Was ist SplitDNS?

[testperson 1.859]

Dann lösch das Abgelaufen Zertifikat einmal.

 

 

Was ist SplitDNS?

Best Practice! (http://bfy.tw/5HhC)

[Moped 11]

könne denn Selbst Ausgestellte Zertifikate TLS?
oder müsste ich dafür auch eine neues von meiner (externen CA) ausstellen lassen?

[NorbertFe 2.283]

Warum sollten sie es nicht können? Ein externes benötigst du nur, wenn du auch eine entsprechende Validierung haben willst bzw. dein Gegenüber dies haben will. ;)

[testperson 1.859]

Warum sollten sie es nicht können? Ein externes benötigst du nur, wenn du auch eine entsprechende Validierung haben willst bzw. dein Gegenüber dies haben will. ;)

 

Dann könnte man aber auch das RootCA- (und die ZwischenCA) Zertifikate austauschen ;)

 

Da es aber vermutlich recht häufig auf Mail / Firewall Appliance -> Exchange rausläuft würde ich das halt immer (wie oben geschrieben) mit einem kommerziellen SAN Zertifikat abfrühstücken (outlook.<domain.tld>; autodiscover.<domain.tld>; mx.<domain.tld>).

 

Und in nahezu allen anderen Fällen, sollte derjenige der es implementiert auch wissen was er tut :)

[NorbertFe 2.283]

Bei selfsigned gibt's kein Rootzertifikat. ?

[testperson 1.859]

Ach komm.. SelfSigned schenkt man erst gar keine Beachtung ;)

Ist SelfSigned nicht sogar unsupported?

[Nobbyaushb 1.581]

Ach komm.. SelfSigned schenkt man erst gar keine Beachtung

Ist SelfSigned nicht sogar unsupported?

Jupp - ignoriert aber nahezu jeder, der weiter - weiter klicken kann und meint, er hätte jetzt einen fertigen Exchange.

 

[Squire 290]

Warum denn kommerzielles SAN Zertifikat? Wenn man eh ne Firewall als Reverseproxy davor hat kann man genauso gut ein ggf. vorhandenes Wildcard Zertifikat verwenden und für intern einfach ein entsprechendes Zertifikat der UnternehmensCA mit den entsprechenden alternativen DNS Namen nehmen.

 

just my 2ct

Rob

[NorbertFe 2.283]

Weil Wildcats Zertifikate leider zu oft auf zu vielen Systemen gestreut werden. ;) was spricht gegen ein eigenes? Kosten können es eigentlich kaum sein.

[Moped 11]

N'abend

 

Also so wie ich das jetzt erst einmal verstanden habe sollte es ausreichen das abgelaufene Zertifikat zu löschen?

 

Werde das am Montag mal machen

[Nobbyaushb 1.581]

Jupp.

 

Guck mal, ob noch Dienste gebunden sind.

 

Und installiere zeitnah entweder eine eigene CA oder kaufe in Cert für den Exchange, Startssl & Co. ist mittlerweise so günstig, das es keine Ausreden mehr gibt.

 

;)

[blub 115]

Exchange ist so gar nicht mein Thema, aber etwas die Zertifikate

Kann ich das jetzt gültige Zertifikat nachträglich durch meine Zertifizierungsstelle "genehmigen" oder muss ich ein komplett neues erstellen

- Nachträglich ein Zertifikat ändern geht nicht! Sonst passt die Signatur des Zertifikats nicht mehr.

 

- Technisch betrachtet sind selbst erstellte Zertifikate, egal ob selfsigned oder per CA erstellt, und gekaufte Zertifikate genau gleich. Wenn es du mit einem selfsigned Zertifikat Fehler bekommst, wird es mit gekauften einem Zertifikat auch nicht  laufen. Es geht nur darum, ob jemand von außerhalb diesem Zertifikat vertrauen soll.

 

- Vor dem Löschen deines alten Zertifikates exportiere dieses entweder oder verschieb es erstmal in einen anderen Container (smartcard roots). Dann hast du es noch zum Vergleichen.

 

- was ein Zertifikat "kann", steht in der "key usage" in den Zertifikatseigenschaften. Da sollte "digital signature" drinnen stehen, dann kannst du es für TLS verwenden. Zertifikate einer MicrosoftCA basierend auf dem Computer-template haben diese usage. Bei selfsigned-certificates musst du mal nachsehen, aber normalerweise können die Alles!

BTW: ob bzw. welche TLS-Version dein Rechner kann, hängt von den erlaubten Ciphern ab. TLS1.0/ TLS1.1 sollte man -zumindest im Business Umfeld- langsam abdrehen und Richtung TLS 1.2 gehen

 

blub