Jump to content

Exchange 2010 -> GUI Neues Exchange Zertifikat wird nicht fertig


Direkt zur Lösung Gelöst von Ebenezer,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

auf einem SBS 2011 sind das CA-Zertifikat und Exchange Zertifikat abgelaufen. Ich habe zunächst das CA-Zertifikat via mmc erneuert und anschließend die CA auf SHA2 umgestellt: certutil -setreg ca\csp\CNGHashAlgorithm SHA256. Das abgelaufene Exchange Zertifikat kann ich nicht erneuern, deshalb wollte ich ein neues erstellen. Leider wird der Assistent nicht fertig (der Balken wandert lustig hin und her). Per Powershell geht es auch nicht. Wenn ich https://servername/certsrv oder https://servername/owa eingebe, dann wird ein Zertifikatsfehler angezeigt aber die Schaltfläche fortsetzen (IE11) fehlt. Ich habe den Server neugestartet (ohne Veränderung) und anschließend wollte ich die CA wieder zurückstellen: certutil -setreg ca\csp\CNGHashAlgorithm SHA1. Leider ändert das gar nichts. Jetzt weiß ich nicht mehr weiter. Hat das eine (certutil) überhaupt etwas mit dem anderen (Zertifikat lässt sich nicht mehr anfordern)? Danke! Nico

 

Link zu diesem Kommentar

Ich komme nicht weiter. Ich haben nun über die SBS-Konsole nach Netzwerkfehlern gesucht und es wurde auch ein Problem mit dem selbst erstellten Zertifikat erkannt. Wenn man probiert den Fehler zu beheben erscheint: Das selbst ausgebene Zertifikat wird erneut ausgeben ... doch es passiert nichts ... in der Datei fncw.log steht:

 

[19932] 161129.163111.1979: CoreNet:  --- Start fixing certificate error CERT_SELFCERT_INVALID
[19932] 161129.163111.1989: CoreNet: SBS apps website name is Sites
[19932] 161129.163111.2049: CoreNet: Look for cert in My
[19932] 161129.163111.2049: CoreNet: Subject: SITES
[19932] 161129.163111.2049: CoreNet: Timespan 30.00:00:00
[19932] 161129.163111.2049: CoreNet: Opening Store
[19932] 161129.163111.2069: CoreNet: Finding cert from collection of 12
[19932] 161129.163111.2099: CoreNet: Getting root cert
[19932] 161129.163111.2159: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163111.2259: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163111.2299: CoreNet: Converting to bytes
[19932] 161129.163111.2299: CoreNet: certcoll.Count: 6
[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=FS01.KANZLEI.LOCAL
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2299: CoreNet: Cert Subject: OU=DATEVSERVICECERT3928442FA48B42579EB7D0A2E3DA4C1E_V001, CN=FS01
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2299: CoreNet: Cert Subject: CN=WMSVC-WIN-VFAGIFB99J0
[19932] 161129.163111.2299: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA
[19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2309: CoreNet: Cert Subject: CN=KANZLEI-FS01-CA
[19932] 161129.163111.2309: CoreNet: Cert subject is not a match, skipping it.
[19932] 161129.163111.2309: CoreNet: Closing Store
[19932] 161129.163111.2319: CoreNet: Restart certificate service to apply the current CA settings
[19932] 161129.163111.6230: CoreNet: Getting root cert
[19932] 161129.163111.6290: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163111.6310: CoreNet: Retry after server was unavailable
[19932] 161129.163121.6320: CoreNet: Getting root cert
[19932] 161129.163121.6370: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163121.6460: CoreNet: CA ConfigString: FS01.kanzlei.local\kanzlei-FS01-CA
[19932] 161129.163121.6490: CoreNet: Converting to bytes
[19932] 161129.163121.6500: CoreNet: Create leaf cert for SBS apps website Sites
[19932] 161129.163121.6550: CoreNet: CommonName: Sites
[19932] 161129.163121.6570: CoreNet: CN to validate: CN=Sites,
[19932] 161129.163121.6570: CoreNet: Returning CN of CN=Sites,
[19932] 161129.163121.6570: CoreNet: sCommonName: CN=Sites,
[19932] 161129.163121.6620: CoreNet: Creating Request
[19932] 161129.163121.6630: CoreNet: CA Name is: kanzlei-FS01-CA
[19932] 161129.163121.6630: CoreNet: CA Name: kanzlei-FS01-CA
 
Kann es sein, dass er das root cert nicht findet? Er guckt in MyCert, findet dort 12 Zertifikate und vergleicht nun das "cert subject" und hier geht was schief. Ich habe ein paar mal der Zertifizierungsstellen Zertifikat erneuert, kann dass das Problem sein? Deshalb existieren unter MyCert überhaupt so viele Zertifikate. Kann ich die CA notfalls de- und neuinstallieren? Bin für jeden Hinweis dankbar!
Link zu diesem Kommentar

 

Kann es sein, dass er das root cert nicht findet? Er guckt in MyCert, findet dort 12 Zertifikate und vergleicht nun das "cert subject" und hier geht was schief. Ich habe ein paar mal der Zertifizierungsstellen Zertifikat erneuert, kann dass das Problem sein? Deshalb existieren unter MyCert überhaupt so viele Zertifikate. Kann ich die CA notfalls de- und neuinstallieren? Bin für jeden Hinweis dankbar!

 

Ja, du könntest die Root-CA entfernen und neu hochziehen.

 

Allerdings kann ich dir nicht sagen, welche Auswirkungen das auf den Rest vom SBS hat - im Zweifelsfall lieber reparieren.

 

Erst einmal die ganzen Zert löschen, die du nicht brauchst oder bei denen der Name nicht stimmt.

 

Ggf. ist es wirklich besser, wenn sich das mal jemand vor Ort ansieht....

 

:rolleyes:

Link zu diesem Kommentar

Hi,

 

du hast das RootCA erneuert und dann die CA auf SHA256 migriert? Hast du dann nochmal das Zertifikat erneuert? Siehe: https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/

Wenn das Root dann SHA256 ist -> https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zertifizierungsstelle-ca/ ab "Anpassen der Zertifikatsvorlage für Exchange SAN Zertifikate" (Im alten Zertifikat prüfen, was alles als SAN benötigt wird).

 

Je nachdem ists noch einfacher / schneller den SBS auf SplitDNS zu konfigurieren und dann einen CSR zu genereieren sowie ein Zertifikat zu kaufen.

 

Gruß

Jan

Link zu diesem Kommentar

Hallo Jan, ja ich habe das Zertifikat nach der Umstellung auf SHA256 noch mal erfolglos erneuert ... über Split-DNS habe ich auch schon nachgedacht ... da ich über Exchange ja auch kein CSR mehr erstellen kann bleibt nur der Weg den CSR mit einem anderen Tool zu machen und dann zu importieren, oder? Dann per Gruppenrichtlinie die Outlookprofile umstellen und fertig? Danke, Nico

Link zu diesem Kommentar
  • Beste Lösung

Jetzt hab ich mir Deinen zweiten Link angesehen und ich konnte auf diesem Weg, ich habe das bisher immer über Neues-Exchange Zertifikat -> einreichen bei CertSRV -> Anforderung abschließen gemacht, tatsächlich ein neues Zertifikat erstellen und den Exchange-Diensten zuweisen. Warum der übliche Weg nach wie vor nicht funktioniert ist mir jetzt erst mal egal. Danke nochmals!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...