Zertifikat abgelaufen - was nun?

[Friesenjunge 17]

Moin zusammen,

folgendes Problem:

 

Wir betreiben eine PKI über mehrere Standorte hinweg.

In dieser PKI wurden durch einen externen Dienstleister bei der Implementierung Zertifikate für unsere Mailserver erstellt.

Leider sind diese abgelaufen, da wir es versäumt haben, diese rechtzeitig zu verlängern.

 

Nun habe ich von dem Mailserver aus ein neues Zertifikat erstellt, dieses wurde vom PKI-Server auch ausgestellt.

Der Mailserver identifiziert sich gegenüber den Clients aber nach wie vor mit dem abgelaufenen Zertifikat.

 

Folgendermaßen bin ich vorgegangen:

1. Beantragung eines neuen Zertifikats aus dem IIS [serverzertifikate] des Exchange heraus.
2. Nach Ausstellung des neuen Zertifikats habe ich aus der IIS-Konsole "Zertifikate" dieses exportiert, und im Zertifikatsmanager des Exchangeservers (Computerzertifikate) in "Eigene Zertifikate" importiert.

Das neue Zertifikat wird im PKI-Server als ausgestellt, signiert und gültig angezeigt, aber beim Verbindungsaufbau der Outlook-Clients mit dem Exchange wird nach wie vor das alte, abgelaufene Zertifikat angezeigt/verwendet, mit OWA verhält es sich genauso.

 

Ich habe jedoch das alte Zertifikat auf dem PKI-Server noch nicht gesperrt oder gelöscht.

 

Wie muss ich nun vorgehen, damit die Clients wieder ein gültiges Zertifikat zu sehen bekommen.

 

Vielen Dank für Eure konstruktiven Vorschläge.

 

Euer Friesenjunge

[Nobbyaushb 1.471]

Moin,

Finger weg vom IIS bei einem Exchange!

 

Welche Version hast du laufen?

 

Beim 2007er musste man das noch über die Shell machen, seit 2010 gibt es eine GUI.

http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

 

Dann kann ich dir weiterhelfen.

 

;)

[testperson 1.676]

Hi,

 

du solltest am Exchange die Zertifikate und Bindungen nicht im IIS bearbeiten. Mit "Get-ExchangeCertifiacete" solltest du alle Zertifikate in der EMS angezeigt bekommen. Mit "Enable-ExchangeCertificate -Thumdbrint <Thumbrint> -Services <Dienste>" solltest du das neue Zertifikat entsprechende an die Dienste gebunden bekommen.

 

Oder wie Nobbyaushb schrub ab Exchange 2010 in der GUI. Die Shell ist aber schneller ;)

 

Gruß

Jan

bearbeitet 11. Januar 2016 von testperson

[Friesenjunge 17]

Moin und herzlichen Dank für die schnellen Antworten!

 

Wir setzen eine Exchange 2010 Standard ein: 14.030181.006

 

Der Befehl "Get-ExchangeCertificate" zeigt mir das von mir neu im IIS erstellte Zertifikat an.

 

Wir wollen das Zertifikat für OWA und Outlook-Verbindungen einsetzen. Welche Dienstbezeichnung muss ich denn dann verwenden, um das Zert mit "Enable-ExchangeCert..." zu binden?

 

Ich habe mir die Hilfe des cmdlets aufgerufen.

Hier werden mehrere Dienste aufgelistet:

• IMAP (klar)
• POP (klar)
• UM (Unified Messaging?)
• IIS (wohl OWA)
• SMTP (klar)
• Federation (Was ist das?)

Ich würde nun in der EMS folgenden Befehl eingeben und abschicken:

 

Enable-ExchangeCertificate -Thumbprint <Fingerprint des Zertifikats> -Services POP,IMAP,SMTP,IIS

 

Korrekt?
 

 

Danke, bis hierhin habt Ihr mir schon einen entscheidenden Schritt weitergeholfen!

 

[Nachtrag]

Ich liebe dieses Forum!

[/Nachtrag]

bearbeitet 11. Januar 2016 von Friesenjunge

[testperson 1.676]

Hi,

 

im Zweifelsfall bindest du das neue Zertifikat an die gleichen Dienste wie das alte ;)

 

Gruß

Jan

[Friesenjunge 17]

Danke Jan!

 

Das ist interessant:

In der EMS werden mir bei dem alten Zertifikat die Dienste "IP.WS." angezeigt, welche ich im TechNet nicht finden kann...

[testperson 1.676]

I -> IMAP; P -> POP; W -> Web (IIS); S -> SMTP dürfte das sein

bearbeitet 11. Januar 2016 von testperson

[Nobbyaushb 1.471]

Moin,

ich weiß, verwirrend.

I steht für Imap

P für Pop

W für Webservices (IIS!!!)

S für SMTP

 

 

Hehe - doppelte Antwort :D

bearbeitet 11. Januar 2016 von Nobbyaushb

[Friesenjunge 17]

OK, Exchange scheint hier wohl etwas faul zu sein...

 

Danke!

Ich teste das und melde mich wieder.

[Nobbyaushb 1.471]

Dem kannst du nachhelfen, am CMD -> IISreset /noforce

 

Kommt aber auch von selber, spätestens bei nächsten reboot ;)

[Sunny61 806]

Altes abgelaufenes Zertifikat am Exchange dann löschen, erst dann war bei uns auch alles in Ordnung an bzw. mit den Clients.

[Friesenjunge 17]

So, als erstes: Herzlichen Dank an Norbert (aus HB) und Jan für die entscheidenden Tipps!

 

Ich habe nun auf den beiden betroffenen Exchange die neu erstellten Zertifikate an die Dienste gebunden.

Erste Tests ergaben, dass über OWA unmittelbar nach der Aktion schon die neuen Zertifikate verwendet wurden, bei der Verbindung mit Outlook dauerte es ein paar Minuten.

 

@Sunny: Alte Zertifikate sind nach erfolgreicher Bindung in der EMS von mir gelöscht worden.

 

Gestattet mir bitte eine letzte Frage:

Muss ich auch über die EMS aktiv werden, wenn ich die Zertifikate rechtzeitig vor Ablauf verlängere? Oder bekommt der Exchange das mit, da das Zertifikat sich (vom Fingerprint her) nicht ändert?

 

Viele Grüße von der Nordseeküste/dänische Grenze

Friesenjunge

[testperson 1.676]

https://technet.microsoft.com/de-de/library/ee332322%28v=exchg.141%29.aspx

 

BTW: Ist es einfacher für beide Exchange das gleiche Zertifikat zu nutzen.

bearbeitet 11. Januar 2016 von testperson

[NorbertFe 2.034]

Ja da musst du immer ran.

[Friesenjunge 17]

Alles klar, danke.

Somit ist das Thema für mich gelöst und ebenso markiert ;)