Jump to content

Exchange Server Auth Certificate erneuern


Go to solution Solved by winmadness,

Recommended Posts

Hallo,

ich muss aktuell krankheitsbedingt unseren Exchange Server betreuen. Leider bin ich nicht so tief beim Thema Exchange/Zertifikate  drin, sodass ich mein Glück hier mal probiere.

Mir ist aufgefallen, dass Ende diesen Monats das oben genannte Zertifikat(selbstsigniert) abläuft. Dieses ist dem SMTP Dienst zugewiesen.

Es gibt aber auch ein Wildcardzertifikat (signiert von einer Zertifizierungsstelle), welches den Diensten IMAP, SMTP, IIS und POP zugewiesen ist.

Meine Frage lautet nun:

Muss das Server Auth Certificate überhaupt erneuert werden, wenn der SMTP Dienst auch dem Wildcardzertifikat zugeweisen ist oder kann ich das Zertifikat bedenkenlos ablaufen lassen, da das Wildcardzertifikat die Aufgabe übernimmt?

Schon mal vielen Dank für eure Hilfen und Tipps.

 

Link to post

Überprüfe mal auf dem IIS die unter "Bindungen" zugewiesene Zertifikate für die Defauft Site und Exchange Back End. Wenn dort das eigene Zertifikat zugewiesen ist, musst Du dieses erneuen. Habt Ihr unterschiedliche Domänen für intern und extern - auf welchen Domänen ist das Wildcard bzw. eigene Zertifikat ausgestellt?

Link to post
vor 35 Minuten schrieb winmadness:

Überprüfe mal auf dem IIS die unter "Bindungen" zugewiesene Zertifikate für die Defauft Site und Exchange Back End. Wenn dort das eigene Zertifikat zugewiesen ist, musst Du dieses erneuen. Habt Ihr unterschiedliche Domänen für intern und extern - auf welchen Domänen ist das Wildcard bzw. eigene Zertifikat ausgestellt?

Wir haben nur eine Domäne für intern und extern.

Das Exchange Auth Certificate ist unter Bindungen nicht zugewiesen.

Dort ist zumindest in der Default Site das Wildcardzertifikat zu sehen.

Link to post
  • Solution
Posted (edited)

Hallo,

damit ist die Sache klar und Du benötigst nur das Wildcardzertifikat. Überprüfe aber zur Sicherheit, ob das eigene Zertifikat wirklich nicht aktiviert ist.

netsh http show sslcert

Zertifikathash entspricht Fingerabdruck des Zertifikates

Powershell Exchange

Get-ExchangeCertificate | fl

 

Edited by winmadness
https -> http
Link to post
vor 10 Minuten schrieb winmadness:

Hallo,

damit ist die Sache klar und Du benötigst nur das Wildcardzertifikat. Überprüfe aber zur Sicherheit, ob das eigene Zertifikat wirklich nicht aktiviert ist.


netsh https show sslcert

Zertifikathash entspricht Fingerabdruck des Zertifikates

Powershell Exchange


Get-ExchangeCertificate | fl

 

Super, vielen Dank!

Der Thumbprint von dem Auth Certificate war nicht zu finden.

Dann bin ich jetzt beruhigt.

Link to post
vor 16 Minuten schrieb NorbertFe:

Das auth. Zertifikat ist nicht grundlos vorhanden. ;)

Verstehe ich nicht so ganz. Er hat doch geprüft, ob das eigene Zertifikat im System oder an Exchange gebunden ist - nach seiner Aussage nein. Ausserdem ist in dem Link die Erstellung eines Zertifikates mit "New-ExchangeCertificate " beschrieben. Ich z.B. verwende zwei Zertifiakte - ein offizielles Wildcard-Zertifikat für SMTP und mein virtuelles ActiveSync Directory und ein mit Windows Zertifizierungsstelle erstelltes für die Default Web Site / Exchange Back End.

Edited by winmadness
Link to post
vor 34 Minuten schrieb winmadness:

hat doch geprüft, ob das eigene Zertifikat im System oder an Exchange gebunden ist

Wenn du den Artikel gelesen hättest, wüsstest du, dass man das als Laie (und das ist der to nach eigener Aussage hinsichtlich exchange) so gar nicht sieht, weil es in der Auth-config steht und nicht im iis.

Edited by NorbertFe
Link to post

Habe ich verstanden. Deswegen wundert mich Deine Aussage (Zitat) nach der negativen Überprüfung der Bindungen mit netsh und "Get-ExchangeCertificate". Was habe ich übersehen?

vor 37 Minuten schrieb NorbertFe:

Man könnte den link ja einfach lesen und abarbeiten. Das auth. Zertifikat ist nicht grundlos vorhanden. ;)

Link to post

Alles klar, jetzt habe ich es verstanden. Nur für mein Verständnis. Ich gehe davon aus, dass der eigentliche Exchange Admin das Standard Exchange Auth Zertifikat explizit gelöscht hat, da es mit Get-ExchangeCertificate nicht aufgeführt wird. In diesem Fall wären ja schon früher Fehler (Eventlog) aufgetreten, wenn der nicht gleichzeitig über Set-AuthConfig das Zertifikat neu gesetzt hätte. Oder übersehe ich hier etwas? Sorry, will Dich nicht nevern - ich will es nur verstehen und lerne gerne dazu.
Link to post

Es gibt bei Exchange seit einiger Zeit ein Backend und ein Frontend im IIS.

Daher zwei unterschiedliche Zertifikate. Das eine lässt sich mit Get-ExchangeCertificate anzeigen, das andere mit Get-AuthConfig.

Link to post

Sicher nicht. Du kannst das aber gerne vergleichen. Schau im IIS, was da am Frontend und was am Backend hängt und vergleiche dies mit Get-ExchangeCertificate und Get-AuthConfig.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...