Friesenjunge 17 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 Moin zusammen, folgendes Problem: Wir betreiben eine PKI über mehrere Standorte hinweg. In dieser PKI wurden durch einen externen Dienstleister bei der Implementierung Zertifikate für unsere Mailserver erstellt. Leider sind diese abgelaufen, da wir es versäumt haben, diese rechtzeitig zu verlängern. Nun habe ich von dem Mailserver aus ein neues Zertifikat erstellt, dieses wurde vom PKI-Server auch ausgestellt. Der Mailserver identifiziert sich gegenüber den Clients aber nach wie vor mit dem abgelaufenen Zertifikat. Folgendermaßen bin ich vorgegangen: Beantragung eines neuen Zertifikats aus dem IIS [serverzertifikate] des Exchange heraus. Nach Ausstellung des neuen Zertifikats habe ich aus der IIS-Konsole "Zertifikate" dieses exportiert, und im Zertifikatsmanager des Exchangeservers (Computerzertifikate) in "Eigene Zertifikate" importiert. Das neue Zertifikat wird im PKI-Server als ausgestellt, signiert und gültig angezeigt, aber beim Verbindungsaufbau der Outlook-Clients mit dem Exchange wird nach wie vor das alte, abgelaufene Zertifikat angezeigt/verwendet, mit OWA verhält es sich genauso. Ich habe jedoch das alte Zertifikat auf dem PKI-Server noch nicht gesperrt oder gelöscht. Wie muss ich nun vorgehen, damit die Clients wieder ein gültiges Zertifikat zu sehen bekommen. Vielen Dank für Eure konstruktiven Vorschläge. Euer Friesenjunge Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 Moin, Finger weg vom IIS bei einem Exchange! Welche Version hast du laufen? Beim 2007er musste man das noch über die Shell machen, seit 2010 gibt es eine GUI. http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern Dann kann ich dir weiterhelfen. ;) Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 (bearbeitet) Hi, du solltest am Exchange die Zertifikate und Bindungen nicht im IIS bearbeiten. Mit "Get-ExchangeCertifiacete" solltest du alle Zertifikate in der EMS angezeigt bekommen. Mit "Enable-ExchangeCertificate -Thumdbrint <Thumbrint> -Services <Dienste>" solltest du das neue Zertifikat entsprechende an die Dienste gebunden bekommen. Oder wie Nobbyaushb schrub ab Exchange 2010 in der GUI. Die Shell ist aber schneller ;) Gruß Jan bearbeitet 11. Januar 2016 von testperson Zitieren Link zu diesem Kommentar
Friesenjunge 17 Geschrieben 11. Januar 2016 Autor Melden Teilen Geschrieben 11. Januar 2016 (bearbeitet) Moin und herzlichen Dank für die schnellen Antworten! Wir setzen eine Exchange 2010 Standard ein: 14.030181.006 Der Befehl "Get-ExchangeCertificate" zeigt mir das von mir neu im IIS erstellte Zertifikat an. Wir wollen das Zertifikat für OWA und Outlook-Verbindungen einsetzen. Welche Dienstbezeichnung muss ich denn dann verwenden, um das Zert mit "Enable-ExchangeCert..." zu binden? Ich habe mir die Hilfe des cmdlets aufgerufen. Hier werden mehrere Dienste aufgelistet: IMAP (klar) POP (klar) UM (Unified Messaging?) IIS (wohl OWA) SMTP (klar) Federation (Was ist das?) Ich würde nun in der EMS folgenden Befehl eingeben und abschicken: Enable-ExchangeCertificate -Thumbprint <Fingerprint des Zertifikats> -Services POP,IMAP,SMTP,IIS Korrekt? Danke, bis hierhin habt Ihr mir schon einen entscheidenden Schritt weitergeholfen! [Nachtrag] Ich liebe dieses Forum! [/Nachtrag] bearbeitet 11. Januar 2016 von Friesenjunge Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 Hi, im Zweifelsfall bindest du das neue Zertifikat an die gleichen Dienste wie das alte ;) Gruß Jan Zitieren Link zu diesem Kommentar
Friesenjunge 17 Geschrieben 11. Januar 2016 Autor Melden Teilen Geschrieben 11. Januar 2016 Danke Jan! Das ist interessant: In der EMS werden mir bei dem alten Zertifikat die Dienste "IP.WS." angezeigt, welche ich im TechNet nicht finden kann... Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 (bearbeitet) I -> IMAP; P -> POP; W -> Web (IIS); S -> SMTP dürfte das sein bearbeitet 11. Januar 2016 von testperson Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 (bearbeitet) Moin, ich weiß, verwirrend. I steht für Imap P für Pop W für Webservices (IIS!!!) S für SMTP Hehe - doppelte Antwort :D bearbeitet 11. Januar 2016 von Nobbyaushb Zitieren Link zu diesem Kommentar
Friesenjunge 17 Geschrieben 11. Januar 2016 Autor Melden Teilen Geschrieben 11. Januar 2016 OK, Exchange scheint hier wohl etwas faul zu sein... Danke! Ich teste das und melde mich wieder. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 Dem kannst du nachhelfen, am CMD -> IISreset /noforce Kommt aber auch von selber, spätestens bei nächsten reboot ;) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 Altes abgelaufenes Zertifikat am Exchange dann löschen, erst dann war bei uns auch alles in Ordnung an bzw. mit den Clients. Zitieren Link zu diesem Kommentar
Friesenjunge 17 Geschrieben 11. Januar 2016 Autor Melden Teilen Geschrieben 11. Januar 2016 So, als erstes: Herzlichen Dank an Norbert (aus HB) und Jan für die entscheidenden Tipps! Ich habe nun auf den beiden betroffenen Exchange die neu erstellten Zertifikate an die Dienste gebunden. Erste Tests ergaben, dass über OWA unmittelbar nach der Aktion schon die neuen Zertifikate verwendet wurden, bei der Verbindung mit Outlook dauerte es ein paar Minuten. @Sunny: Alte Zertifikate sind nach erfolgreicher Bindung in der EMS von mir gelöscht worden. Gestattet mir bitte eine letzte Frage: Muss ich auch über die EMS aktiv werden, wenn ich die Zertifikate rechtzeitig vor Ablauf verlängere? Oder bekommt der Exchange das mit, da das Zertifikat sich (vom Fingerprint her) nicht ändert? Viele Grüße von der Nordseeküste/dänische Grenze Friesenjunge Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 (bearbeitet) https://technet.microsoft.com/de-de/library/ee332322%28v=exchg.141%29.aspx BTW: Ist es einfacher für beide Exchange das gleiche Zertifikat zu nutzen. bearbeitet 11. Januar 2016 von testperson Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 11. Januar 2016 Melden Teilen Geschrieben 11. Januar 2016 Ja da musst du immer ran. Zitieren Link zu diesem Kommentar
Beste Lösung Friesenjunge 17 Geschrieben 11. Januar 2016 Autor Beste Lösung Melden Teilen Geschrieben 11. Januar 2016 Alles klar, danke. Somit ist das Thema für mich gelöst und ebenso markiert ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.