Jump to content

Exchange 2010 -> GUI Neues Exchange Zertifikat wird nicht fertig


Go to solution Solved by Ebenezer,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

 

auf einem SBS 2011 sind das CA-Zertifikat und Exchange Zertifikat abgelaufen. Ich habe zunächst das CA-Zertifikat via mmc erneuert und anschließend die CA auf SHA2 umgestellt: certutil -setreg ca\csp\CNGHashAlgorithm SHA256. Das abgelaufene Exchange Zertifikat kann ich nicht erneuern, deshalb wollte ich ein neues erstellen. Leider wird der Assistent nicht fertig (der Balken wandert lustig hin und her). Per Powershell geht es auch nicht. Wenn ich https://servername/certsrv oder https://servername/owa eingebe, dann wird ein Zertifikatsfehler angezeigt aber die Schaltfläche fortsetzen (IE11) fehlt. Ich habe den Server neugestartet (ohne Veränderung) und anschließend wollte ich die CA wieder zurückstellen: certutil -setreg ca\csp\CNGHashAlgorithm SHA1. Leider ändert das gar nichts. Jetzt weiß ich nicht mehr weiter. Hat das eine (certutil) überhaupt etwas mit dem anderen (Zertifikat lässt sich nicht mehr anfordern)? Danke! Nico

 

Link to comment

Ich komme nicht weiter. Ich haben nun über die SBS-Konsole nach Netzwerkfehlern gesucht und es wurde auch ein Problem mit dem selbst erstellten Zertifikat erkannt. Wenn man probiert den Fehler zu beheben erscheint: Das selbst ausgebene Zertifikat wird erneut ausgeben ... doch es passiert nichts ... in der Datei fncw.log steht:

 

[19932] 161129.163111.1979: CoreNet:  --- Start fixing certificate error CERT_SELFCERT_INVALID
[19932] 161129.163111.1989: CoreNet: SBS apps website name is Sites
[19932] 161129.163111.2049: CoreNet: Look for cert in My
[19932] 161129.163111.2049: CoreNet: Subject: SITES
[19932] 161129.163111.2049: CoreNet: Timespan 30.00:00:00
[19932] 161129.163111.2049: CoreNet: Opening Store
[19932] 161129.163111.2069: CoreNet: Finding cert from collection of 12
[19932] 161129.163111.2099: CoreNet: Getting root cert
[19932] 161129.163111.2159: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163111.2259: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163111.2299: CoreNet: Converting to bytes
[19932] 161129.163111.2299: CoreNet: certcoll.Count: 6
[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=FS01.KANZLEI.LOCAL
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2299: CoreNet: Cert Subject: OU=DATEVSERVICECERT3928442FA48B42579EB7D0A2E3DA4C1E_V001, CN=FS01
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=WMSVC-WIN-VFAGIFB99J0
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA
[19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA
[19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2309: CoreNet: Closing Store
[19932] 161129.163111.2319: CoreNet: Restart certificate service to apply the current CA settings
[19932] 161129.163111.6230: CoreNet: Getting root cert
[19932] 161129.163111.6290: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163111.6310: CoreNet: Retry after server was unavailable
[19932] 161129.163121.6320: CoreNet: Getting root cert
[19932] 161129.163121.6370: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163121.6460: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163121.6490: CoreNet: Converting to bytes
[19932] 161129.163121.6500: CoreNet: Create leaf cert for SBS apps website Sites
[19932] 161129.163121.6550: CoreNet: CommonName: Sites
[19932] 161129.163121.6570: CoreNet: CN to validate: CN=Sites,
[19932] 161129.163121.6570: CoreNet: Returning CN of CN=Sites,
[19932] 161129.163121.6570: CoreNet: sCommonName: CN=Sites,
[19932] 161129.163121.6620: CoreNet: Creating Request
[19932] 161129.163121.6630: CoreNet: CA Name is: kanzlei-FS01-CA
[19932] 161129.163121.6630: CoreNet: CA Name: kanzlei-FS01-CA
 
Kann es sein, dass er das root cert nicht findet? Er guckt in MyCert, findet dort 12 Zertifikate und vergleicht nun das "cert subject" und hier geht was schief. Ich habe ein paar mal der Zertifizierungsstellen Zertifikat erneuert, kann dass das Problem sein? Deshalb existieren unter MyCert überhaupt so viele Zertifikate. Kann ich die CA notfalls de- und neuinstallieren? Bin für jeden Hinweis dankbar!
Link to comment

 

Kann es sein, dass er das root cert nicht findet? Er guckt in MyCert, findet dort 12 Zertifikate und vergleicht nun das "cert subject" und hier geht was schief. Ich habe ein paar mal der Zertifizierungsstellen Zertifikat erneuert, kann dass das Problem sein? Deshalb existieren unter MyCert überhaupt so viele Zertifikate. Kann ich die CA notfalls de- und neuinstallieren? Bin für jeden Hinweis dankbar!

 

Ja, du könntest die Root-CA entfernen und neu hochziehen.

 

Allerdings kann ich dir nicht sagen, welche Auswirkungen das auf den Rest vom SBS hat - im Zweifelsfall lieber reparieren.

 

Erst einmal die ganzen Zert löschen, die du nicht brauchst oder bei denen der Name nicht stimmt.

 

Ggf. ist es wirklich besser, wenn sich das mal jemand vor Ort ansieht....

 

:rolleyes:

Link to comment

Hi,

 

du hast das RootCA erneuert und dann die CA auf SHA256 migriert? Hast du dann nochmal das Zertifikat erneuert? Siehe: https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/

Wenn das Root dann SHA256 ist -> https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zertifizierungsstelle-ca/ ab "Anpassen der Zertifikatsvorlage für Exchange SAN Zertifikate" (Im alten Zertifikat prüfen, was alles als SAN benötigt wird).

 

Je nachdem ists noch einfacher / schneller den SBS auf SplitDNS zu konfigurieren und dann einen CSR zu genereieren sowie ein Zertifikat zu kaufen.

 

Gruß

Jan

Link to comment

Hallo Jan, ja ich habe das Zertifikat nach der Umstellung auf SHA256 noch mal erfolglos erneuert ... über Split-DNS habe ich auch schon nachgedacht ... da ich über Exchange ja auch kein CSR mehr erstellen kann bleibt nur der Weg den CSR mit einem anderen Tool zu machen und dann zu importieren, oder? Dann per Gruppenrichtlinie die Outlookprofile umstellen und fertig? Danke, Nico

Link to comment
  • Solution

Jetzt hab ich mir Deinen zweiten Link angesehen und ich konnte auf diesem Weg, ich habe das bisher immer über Neues-Exchange Zertifikat -> einreichen bei CertSRV -> Anforderung abschließen gemacht, tatsächlich ein neues Zertifikat erstellen und den Exchange-Diensten zuweisen. Warum der übliche Weg nach wie vor nicht funktioniert ist mir jetzt erst mal egal. Danke nochmals!

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...