Jump to content

Exchange 2016 TLS Zertifikat


DIS
Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Nachdem ich mich jetzt mal ein wenig mit dem Thema Exchange 2016 und TLS 1.2 beschäftigen musste ist mir aufgefallen, dass Standardmäßig keinem meiner Receive Connectoren ein TLSCertificate zugeordnet ist. Bei Ausführung des CMDs "Get-ReceiveConnector |fl Name, TlsCertificatename, Bindings" bleibt die Spalte TlsCertificateName bei allen Konnektoren leer. Der Exchange funktioniert soweit perfekt und unterstützt nach den gängigen Tests auch TLS 1.2. Muss dann einem Connector ein Zertifikat zugeordnet werden bzw. was bringt sich das wenn es offensichtlich auch ohne geht?

Link zu diesem Kommentar
  • Beste Lösung
vor 3 Minuten schrieb DIS:

Standardmäßig keinem meiner Receive Connectoren ein TLSCertificate zugeordnet ist.

Das ist auch nicht schlimm. Der nimmt einfach das, was für SMTP enabled wurde _und_ den passenden Namen im CN/SAN hat.

 

vor 4 Minuten schrieb DIS:

Bei Ausführung des CMDs "Get-ReceiveConnector |fl Name, TlsCertificatename, Bindings" bleibt die Spalte TlsCertificateName bei allen Konnektoren leer. Der Exchange funktioniert soweit perfekt und unterstützt nach den gängigen Tests auch TLS 1.2. Muss dann einem Connector ein Zertifikat zugeordnet werden bzw. was bringt sich das wenn es offensichtlich auch ohne geht?

Das kann Vorteile bringen, wenn man explizit ein bestimmtes Zertifikat nutzen will/muss. Bspw. wenn DANE im Einsatz ist.

Link zu diesem Kommentar

OK, danke - für SMTP enabled ist einzig und alleine das Standard "WMSVC-SHA2" Zertifikat. Wenn ich versuche mein LetsEncrypt Zetifikat (welches für IMAP, POP, IIS enabled ist) auch für SMTP zu enablen werde ich zwar gefragt: 

"Soll das vorhandene SMTP-Standardzertifikat überschrieben werden? Aktuelles Zertifikat: 'XXXXX' (läuft am 24.02.2028 15:32:01 ab) Ersetzen durch Zertifikat: 'YYYYY' (läuft am 06.02.2023 12:58:18 ab)"

Wenn ich das mit ja beantworte ändert sich leider nichts daran. Beim LetsEncrypt bleibt "nur" IMAP, POP, IIS stehen. Von SMTP ist nichts zu sehen und beim "WMSVC-SHA2" bleibt SMTP stehen und ist auch ausgegraut, sprich kann nicht deaktiviert werden. Irgendwie seltsam. Stellt das ein Problem dar dem ich nachgehen sollte oder kann man das so belassen?

Link zu diesem Kommentar
vor 59 Minuten schrieb DIS:

Standard "WMSVC-SHA2" Zertifikat.

 

Das ist _nicht_ das Standard Zertifikat für Exchange. Das heißt normalerweise/standardmäßig "Microsoft Exchange". ;)

vor einer Stunde schrieb DIS:

Stellt das ein Problem dar dem ich nachgehen sollte oder kann man das so belassen?

Hängt davon ab. Wird dir den TLS angeboten, bzw. kommt eine entsprechende Verbindung zustande? checktls.com kann weiterhelfen.

Link zu diesem Kommentar
vor 5 Minuten schrieb NorbertFe:

Das ist _nicht_ das Standard Zertifikat für Exchange

Ja, klar, aber Standardmäßig eingerichtet...

 

vor 6 Minuten schrieb NorbertFe:

Wird dir den TLS angeboten, bzw. kommt eine entsprechende Verbindung zustande? checktls.com kann weiterhelfen.

Ja, alles grün ;-) Sonst würde ich mir ja sorgen machen. Mir missfällt nur, dass ich mein LetsEncrypt ZErtifikat nicht für SMTP aktivieren kann. Ansonsten geht eh alles und ich frag mich eben ob ich mich dann zurücklehnen kann...

Link zu diesem Kommentar
vor 3 Minuten schrieb DIS:

Ja, klar, aber Standardmäßig eingerichtet...

 

Aber nicht vom Exchange. ;)

vor 4 Minuten schrieb DIS:

Mir missfällt nur, dass ich mein LetsEncrypt ZErtifikat nicht für SMTP aktivieren kann.

Wie hast du es importiert? Per Exchange Powershell? Meist liegts daran, dass man "nicht-Exchange-Mittel" verwendet hat.

Link zu diesem Kommentar
Gerade eben schrieb DIS:

quem im Windows Zertifikatspeicher unter "Eigene Zertifikate->Zertifikate" ab, da wo auch das Exchange Zertifikat drinnen ist.- Exchange zeigt es dann automatisch unter "Server->Zertifikate" an. Also ich hab hier nichts manuell importiert oder so....

Und welcher Prozess holt das Lets encrypt Zertifikat bei dir?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...