EX2007 Zertifikat erneuern

[Forseti2003 14]

Hallo in die Runde,

 

irgendwie will mich mein EX2007 heute ein wenig nerven, oder ich seh die Lösung nicht, die evtl. vor meiner Nase schwebt.

 

Im Ereignis-Log meines Exchangeserver steht die Fehlermeldung 12016, die besagt wörtlich:

 

"Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von 'xx.netz.local' vorhanden. ...

 

Eine Prüfung der Zertifikate ergab, das dieses Zertifikat ausgelaufen und somit ungültig wurde, natürlich ist es das Zertifikat, über den der Sendeconnector fleißig arbeitet.

 

Nun hab ich eigentlich gedacht, mittels Get-ExchangeCertificate und New-ExchangeCertificate von dem abgelaufenen Zertifikat ein neues erstellen zu können, wie es u.a. auch in der msxfaq.de beschrieben ist.

 

Er fragte dann ob er das vorhandene Zertifikat damit ersetzen sollte, was ich erstmals bestätigte und dann mittels Enable- und Zuweisung der Dienste es aktivieren wollte.

 

Nun das Problem, obwohl bis dahin alles sauber durchgelaufen ist, ohne Fehlermeldung, zeigt er mir das neue Zertifikat nicht an und der EX2007 greift fleißig weiter auf das alte Zertifikat zu.

 

Wo ist mein Denkfehler?

 

Grüße

 

Forseti

[RobertWi 81]

Moin,

 

poste doch mal die Ausgabe von "get-exchangecertificate | ft thumbprint,services".

[Forseti2003 14]

Hallo Robert,

 

anbei im Anhang der Screenshot, ich schätze mal das darin auch einige fehlerhafte Zertifikatsversuche begraben liegen.

Ah, sehe gerade eben, das oberste Zertifikat ist das wo ich heute angelegt habe, aber scheinbar greift der Server da nicht darauf zurück.

Muss man das noch speziell einbinden?

bearbeitet 4. Juni 2012 von Forseti2003
Ergänzung

[Forseti2003 14]

So, nach ein wenig "rumgebastel" ist die Fehlermeldung 12016 weg und der Mailverkehr läuft nun wieder normal schnell.

Mein Fehler bestand darin, das ich mich kurzfristig bei einer Dokumentation in die Irre hab führen lassen, nachdem ich das selbsterstellte EX-Zertifikat mittels -GenerateRequest und Pfadangabe ausgeworfen und dann über die Weboberfläche des CA importiert habe, läuft es soweit ganz gut.

 

Dummerweise ist mir dabei ein anderes Mißgeschick passiert, in dem ich von einem anderen Connector das Zertifikat rausgeworfen hatte.

Muss nun schauen wie ich das da wieder reinkrieg oder notfalls den Connector vermutlich neu anlegen.

 

Aber dabei ist mir nun ein anderer Fehler aufgefallen, wenn ich nun über Extern auf den OWA zugreifen will, erhalte ich eine Fehlermeldung, wenn ich diese umgehen will in dem ich das Risiko bestätige und dann das Zertifikat als Ausnahmeregel einlesen will, wird mir das vom Firefox verweigert, weil er meint, dafür bräuchte man keine Ausnahmeregel, da das soweit ja in Ordnung sei... verstehe ich gerade gar nicht ;-)

bearbeitet 5. Juni 2012 von Forseti2003

[Forseti2003 14]

Irgendwie ist heute nicht meine Woche, oder ich brauch vielleicht doch mal Urlaub :shock:

 

Eigentlich sind meine ersten Probleme alle gelöst, das Ereignisprotokoll läuft sauber durch, die Zertifikate sind installiert und werden als gültig angesehen. Bei dem Problem mit Firefox scheint es sich eher um ein FF Problem zu handeln, da der IE sauber auch auf den OWA zugreift.

 

Aber nun meldet sich mein Outlook, mit dem Hinweis, das zwar das (eine) Zertifikat gültig ist, aber der Name nicht übereinstimmt. (Wurde hier in einigen Threads auch schon behandelt)

 

Was aber auch nach Prüfung logisch ist. Derzeit habe ich zwei Zertifikate laufen, die beide auch den Service SMTP umfassen. Das eine Zertifikat geht auf den Connector Internet für den Mailabruf und hat als Namen daher auch den Mailserver drin stehen, das andere geht auf den Connector FAX und den Namen des Faxservers.

 

Das Zertifikat für Internet läuft sauber durch, Outlook meckert hier nicht, aber bei dem FAX-Zertifikat meckert es dann sofort, weil der Name nicht übereinstimmt.

 

Mein ursprünglicher Gedanke war, beide Zertifikate getrennt zu halten, aber scheinbar klappt das nicht, muss man alles zusammenfassen und über ein Zertifikat laufen lassen?