Austausch Server Zertifikat

[Peterzz 11]

Hallo,

 

ich möchte mein Exchange Zertifikat für einen Exchange Server 2013 erneuern.

Dazu habe ich mir ein gültiges Zertifikat gekauft und dieses in den Zertifikatsspeicher des Exchange Servers importiert. Anschließend habe ich mit dem Befehl

 

certutil –repairstore my SN-Neues-Zertifikat

den öffentlichen Schlüssel zugewiesen.

 

Als letztes will ich noch das Zertifikat an die Dienste (IIS. SMTP, POP3, IMAP) binden.

enable-exchangecertificate -thumbprint Thumprint-Neues-Zertifikat -services smtp,iis,imap,pop

 

Nach dem Befehl bekomme ich aber folgende Frage:

 

Soll das vorhandene SMTP-Standardzertifikat überschrieben werden?

Aktuelles Zertifikat: 'Thumbprint-Server-Zertifikat ' (läuft am 02.02.2026 11:10:53 ab)
Ersetzen durch Zertifikat: 'Thumbprint-Neues-Zertifikat ' (läuft am 16.07.2023 01:59:59 ab)
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"):

 

Unter "Aktuelles Zertifikat" ist aber nicht das Zertifikat zu sehen, welches ich eigentlich, wegen dem Ablaufdatum, austauschen will, sondern folgendes:

 

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=Microsoft Exchange Server Auth Certificate
NotAfter           : 02.02.2026 11:10:53
NotBefore          : 02.02.2021 11:10:53
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : SN-Server-Zertifikat
Services           : SMTP
Status             : Valid
Subject            : CN=Microsoft Exchange Server Auth Certificate
Thumbprint         : Thumbprint-Server-Zertifikat

 

Kann ich das Zertifikat einfach überschreiben?

 

 

 

 

[Nobbyaushb 1.580]

vor 26 Minuten schrieb Peterzz:

 

Kann ich das Zertifikat einfach überschreiben?

Sicher - was willst du sonst machen?
Eventuell war ein weiteres, selbst signiertes Zertifikat angebunden

[Peterzz 11]

Das Zertifikat, welches überschrieben werden soll, hat als Issuer u. Subject "CN=Microsoft Exchange Server Auth Certificate" stehen. 

Dieses Zertifikat benötigt also keine Bindung an SMTP?

[Nobbyaushb 1.580]

vor 2 Minuten schrieb Peterzz:

Das Zertifikat, welches überschrieben werden soll, hat als Issuer u. Subject "CN=Microsoft Exchange Server Auth Certificate" stehen. 

Dieses Zertifikat benötigt also keine Bindung an SMTP?

Nein, das gekaufte Cert sollte das Abdecken.
Ich habe jetzt ein paar mal gesehen, das einige Mailserver auf den Namen vom MX im Zertifikat erwarten, also hätte man 3 Namen im SAN Zertifikat

[NorbertFe 2.281]

vor 50 Minuten schrieb Nobbyaushb:

Sicher - was willst du sonst machen?

Dazu sollte man wissen, warum die Frage kommt. ;) Man kann die auch mit NEIN beantworten. Das kommt auf die Konfiguration an. Ich habe mir inzwischen angewöhnt im Normalfall mit Nein zu bestätigen und nur das interne Selfsigned Zertifikat zu binden. Die externen Connectoren erhalten dann direkt das öffentliche Zertifikat zugewiesen.

 

Bye

Norbert

vor 39 Minuten schrieb Nobbyaushb:

Ich habe jetzt ein paar mal gesehen, das einige Mailserver auf den Namen vom MX im Zertifikat erwarten, also hätte man 3 Namen im SAN Zertifikat

Ja vor allem wenn man MTA-STS konfiguriert hat. ;) Wer gibt seinem MX denn auch einen Namen der nicht im Zertifikat auftaucht?

[Nobbyaushb 1.580]

vor 2 Minuten schrieb NorbertFe:

Ja vor allem wenn man MTA-STS konfiguriert hat. ;) Wer gibt seinem MX denn auch einen Namen der nicht im Zertifikat auftaucht?

Du würdest dich wundern, was man da so alles findet...

 

Aber du siehst ja selber auch so einiges...

bearbeitet 22. Juni 2022 von Nobbyaushb