Jump to content

SMTP-TLS Zertifikat Fehler 12016

Moped

Von Moped
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moped Rising Star

Moped   11

Geschrieben
Geschrieben

Hallo Zusammen,

 

seit gestern habe ich den Fehler 12016 im Event-Log. Folgendes habe ich gemacht

Vor einem Monat als ich das erste mal im Event-Log sah dass das Cert am 14.04 abläuft habe ich eine neues erstellt und dieses auch installiert und den Diensten zugewiesen.

Was ich allerdings nicht beachtet habe, das "alte" zertifikat wurde von unserer internen Zertifizierungsstelle ausgestellt, das neue wurde vom Exchange ausgestellt

Bei der Erneuerung habe ich mit dem Befehl

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

das Zertifikat verlängert.

 

Kann das das Problem sein warum ich den o.g. Fehler bekomme?

 

Kann ich das jetzt gültige Zertifikat nachträglich durch meine Zertifizierungsstelle "genehmigen" oder muss ich ein komplett neues erstellen

 

Danke vorab

Link zu diesem Kommentar
testperson Grand Master

testperson   1.680

Geschrieben
Geschrieben

Warum sollten sie es nicht können? Ein externes benötigst du nur, wenn du auch eine entsprechende Validierung haben willst bzw. dein Gegenüber dies haben will. ;)

 

Dann könnte man aber auch das RootCA- (und die ZwischenCA) Zertifikate austauschen ;)

 

Da es aber vermutlich recht häufig auf Mail / Firewall Appliance -> Exchange rausläuft würde ich das halt immer (wie oben geschrieben) mit einem kommerziellen SAN Zertifikat abfrühstücken (outlook.<domain.tld>; autodiscover.<domain.tld>; mx.<domain.tld>).

 

Und in nahezu allen anderen Fällen, sollte derjenige der es implementiert auch wissen was er tut :)

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Exchange ist so gar nicht mein Thema, aber etwas die Zertifikate


Kann ich das jetzt gültige Zertifikat nachträglich durch meine Zertifizierungsstelle "genehmigen" oder muss ich ein komplett neues erstellen

- Nachträglich ein Zertifikat ändern geht nicht! Sonst passt die Signatur des Zertifikats nicht mehr.

 

- Technisch betrachtet sind selbst erstellte Zertifikate, egal ob selfsigned oder per CA erstellt, und gekaufte Zertifikate genau gleich. Wenn es du mit einem selfsigned Zertifikat Fehler bekommst, wird es mit gekauften einem Zertifikat auch nicht  laufen. Es geht nur darum, ob jemand von außerhalb diesem Zertifikat vertrauen soll.

 

- Vor dem Löschen deines alten Zertifikates exportiere dieses entweder oder verschieb es erstmal in einen anderen Container (smartcard roots). Dann hast du es noch zum Vergleichen.

 

- was ein Zertifikat "kann", steht in der "key usage" in den Zertifikatseigenschaften. Da sollte "digital signature" drinnen stehen, dann kannst du es für TLS verwenden. Zertifikate einer MicrosoftCA basierend auf dem Computer-template haben diese usage. Bei selfsigned-certificates musst du mal nachsehen, aber normalerweise können die Alles!

BTW: ob bzw. welche TLS-Version dein Rechner kann, hängt von den erlaubten Ciphern ab. TLS1.0/ TLS1.1 sollte man -zumindest im Business Umfeld- langsam abdrehen und Richtung TLS 1.2 gehen

 

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...