Exchange 2013 Zertifikat erneuern

[bill_mustermann 1]

Hallo :)

 

Eins meiner Zertifikate auf unserem Exchange 2013 läuft bald aus und daher habe ich es bei unserem Zertifikats Lieferer erneuert.

 

Ich habe allerdings beim einspielen Probleme.

 

in der Weboberfläche habe ich unter Server -> Zertifikate bei dem besagten Zertifikat auf erneuern geklickt. Dadurch wurde ein zweiter Eintrag in der Zertifikatsliste erstellt mit der Option "Abschließen". Auch hier habe ich drauf geklickt und das neue Zertifikat (welches im Übrigen eine txt Endung hatte) hochgeladen.

 

Aber dann gehts nicht weiter. Da steht immer noch "Abschließen"und wenn ich das Zertifikat nochmal hochladen will steht da das schon eines mit dem Fingerprint existiert. Zudem steht da noch:

 

Von einer Zertifizierungsstelle signiertes Zertifikat
Aussteller: CN=*.xxxxxxxxx.xxx, OU=Domain Control Validated - RapidSSL‎®‎, OU=See www.rapidssl.com/resources/cps ‎©‎15, OU=GT20532061

 

Status

Ausstehende Anforderung
Gültig bis: 27.02.2018

Abschließen

 

Diensten zugewiesen

KEIN

 

Was wie wo? :) Ich verstehe es gerade nicht?

 

gruesse

 

[Squire 211]

Zuerst mal die Frage ... sind in Deinem gekauften Zertifikat alle notwendigen Namen drinnen?

 

Wenn ja würde ich das Zertifikat über die MMC hinzufügen .. also mmc öffnen, Snapin zertifikate für Computerkonto hinzufügen und Zertifikat importieren

 

dann in der Exchange powershell

 

get-exchangecertificate | fl thumbprint,CertificateDomains

 

Such das richtige Zertifikat und kopier den Thumbprint

 

enable-exchangecertificate -thumbprint "Thumbprint einfügen" -services smtp,iis,imap,pop

 

(die Services nehmen, die du brauchst)

 

iis durchstarten

 

fertig

[bill_mustermann 1]

Hallo,

 

ich habe es versucht zu importieren wie du gesagt hast. Da stand auch Import erfolgreich. Aber ich sehe es nirgendwo.

 

gruesse

[NorbertFe 1.805]

Ist es per mmc (Zertifikate lokaler Computer) bzw. per get-exchangecertificate zu sehen?

[bill_mustermann 1]

Ist es per mmc (Zertifikate lokaler Computer) bzw. per get-exchangecertificate zu sehen?

 

Nein.

 

gruesse

[NorbertFe 1.805]

Du hast es importiert und es ist nicht per MMC sichtbar?

[Squire 211]

dann würde ich sagen: ist nicht importiert!

 

Importiere es noch mal über die mmc

bearbeitet 1. März 2017 von Squire

[bill_mustermann 1]

Sorry, Schande über mich :) Ich sehe es.

Thumbprint         : F951D21874AB391FA9DB143553A272AB54EFAE46
NotAfter           : 01.04.2019 01:59:59
Services           : None
CertificateDomains : {*.xxxxxx.xxx, xxxxxx.xxx}

Thumbprint         : D318CDB077E1EBA500DBDF0967B5A16B9EF17624
NotAfter           : 09.03.2017 21:27:42
Services           : SMTP
CertificateDomains : {*.xxxxxx.xxx, xxxxxx.xxx}

Das untere ist das das bald abläuft und das obere das neue.

 

Wie gehts weiter?

 

gruesse

[testperson 1.534]

Das alte Zertifikat mit privatem Schlüssel exportieren.

Das neue Zertifikat an die entsprechenden Dienste binden.

Das alte Zertifikat entfernen.

 

Bist du dir sicher, dass das Wildcard-Zertifikat nur für SMTP genutzt wird und nicht für den IIS?

 

P.S.: Wildcard-Zertifikate sind dohf ;)

[bill_mustermann 1]

Hallo,

 

beim Exportieren kommt ein Fehler das der Schlüssel nicht exportiert werden kann.

Ein spezieller RPC-Fehler ist auf Server ELZAR aufgetreten: Der private Schlüssel konnte nicht als PKCS-12 exportiert werden. Entweder war kein Zugriff möglich, oder der Schlüssel kann nicht exportiert werden. 

Wieso soll der eigentlich exportiert werden?

 

gruesse

[Squire 211]

Irgendwas ist da schief gelaufen beim Import. Der private Schlüssel sollte exportierbar sein. 

 

Kann es sein, dass Du eine "Linuxversion" des Zertifikats hast? Dann müsstest Du mit OpenSSL das cer-File erst in ein *.pfx wandeln. Syntax wäre folgender - dann das pfx über die MMC importieren

 

openssl pkcs12 -export -in zertifikat.cer -inkey privatekey.key -out output.pfx

[bill_mustermann 1]

Hallo,

 

also das neue Zertifikat ist drin im ECP und an den SMTP Dienst gebunden. Das alte habe ich entfernt ohne zu exportieren (IM IIS ist es auch nicht mehr zu sehen und im ECP auch nicht). Wenn ich jetzt webmail.xxxxxx.xxx aufrufe und mir das Zertifikat anschaue läuft das immer noch am 9.3.2017 ab.

 

Muss ich irgendetwas neu starten? IISRESET ist ausgeführt und Transportdienst ist neu gestartet worden.

 

gruesse

bearbeitet 1. März 2017 von bill_mustermann

[Dukel 436]

Wenn es nur an SMTP gebunden ist greift es natürlich bei Webmail nicht. Du musst es an alle benötigten Dienste binden.

[bill_mustermann 1]

Hallo,

 

das verstehe ich gerade nicht so wirklich. Ich rufe im Browser auf https://webmail.xxxxxx.xxx. Dann wird mir angezeigt das die Seite sicher ist. Rufe ich die Zertifikatsinformationen für diese Website aufsteht da:

 

Allgemeiner Name: *.xxxxxx.xxx

Läuft ab am: 09.03.2017

 

Auch der Name des dort angezeigten Zertifikats ist noch der Name des alten welches ich gelöscht habe.

 

gruesse

[Squire 211]

kann es sein, dass das Zertifikat noch in der Firewall eingebunden ist?