Zertifizierungsstelle kann keine Zertifikate austellen, AD Informationen nicht gefunden

[tob.s 0]

Hallo,

 

Wie Ihr sicherlich seht, bin ich noch recht neu im der Welt der Zertifikate, ich bitte euch daher Nachzufragen, falls ich nötige Infos vergessen habe.  

 

Mein Problem:

Beim Anfordern eines neuen Exchange Zertifikates für den Mailserver ( seperater Win 2003 Server ) erhalte ich folgende Fehlermeldung von der Zertifizierungsstelle auf dem DC ( Server 2012r2 ):

Element nicht gefunden ( WIN32: 1168 Error_not-found ) Verweigert vom Richtlinienmodul 0x80070490, Die erforderlichen Active Directory-Informationen konnten von den Active Directory-Zertifikatdiensten nicht gefunden werden.

 

Beim weitern Nachforschen erhielt ich zudem die Meldung, dass die Zertifikatvorlagen nicht gefunden werden können, auch der pkiEnrollmentService wird im ADSI-Editor nicht angezeigt.

Da die Domäne vor einiger Zeit einen neuen DC bekommen hat, liegt der Verdacht nahe, dass der Fehler seit Einrichtung des neuen DCs besteht. ( der alte Dc ist nicht mehr im Netzwerk / es gibt also nur einen aktiven DC )

 

Kann ich die Zertifizierungsstelle einfach de- und neu- installieren oder muss ich dabei mit Folgefehlern rechnen - was passiert dabei mit den Zertifikaten ?

 

Habe dazu gegoogelt und es wird öfters auf eine komplette, saubere Deinstallation nach dieser Anleitung verwiesen:

https://support.microsoft.com/en-us/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r

Dabei werden jedoch u.a. alle Zertifikate als ungültig erklärt, dies macht mir Sorgen da neben Exchange auch Navision und weitere Software vorhanden ist,

von der ich nicht weis, ob sie Zertifikate benötig und ob/wie sich diese neu anlegen lassen.

 

Gibt es einen Weg die genannten Fehler zu beheben, ohne Änderungen an den  bestehenden Zertifikaten vornehmen zu müssen ? 

 

Dank & Grüße

 

Tobias

 

[testperson 1.728]

Hi,

• migriere auf eine supportete Exchange und Server Version
• nutze für Exchange ein Zertifikat einer öffentlichen CA

Gruß

Jan

[NilsK 2.968]

Moin,

 

und wenn du dabei bist, hol dir jemanden ins Haus, der sich mit Windows-PKI auskennt, um das reparieren oder neu machen zu lassen. Im Rahmen eines Forums kann man solche Dinge nicht sinnvoll fixen.

 

Gruß, Nils

 

[zahni 558]

Und ein Windows 2003-Server kann bei einer 2012R2 Cert keine Zertifikate anfordern, weil die API geändert wurde. Es ist mindestens Windows 2008R2 erforderlich.

 

[tob.s 0]

Eine Aktualisierung des 2003er Servers ( und evtl. auch des DCs ) ist bereits abgesegnet, aber momentan fehlt einfach die Zeit dies umzusetzten, ein paar Monate muss das ganze noch laufen. Sofern ein 2003 aber keine Zertifikate von 2012r2 anfordern kann, hat sich die Reparatur der Zertifizierungsstelle wohl vorerst erledigt. 

 

Nun bleibt die Frage, wie ich das abgelaufen Exchange Zert. erneuere - ein vom Exchange-Server selbstsigniertes Zertifikat habe ich bereits erstellt, jedoch gibt der Server immer dem vom DC signierten Zert. Vorrang, auch wenn dieses längst abgelaufen ist. Als Übergangslösung einfach die vom Dc "fremdsignierten", abgelaufenen Zerts löschen, bis nurnoch das selbstsignierte übrig ist ?

[zahni 558]

Dann  musst  Du sie halt manuell erstellen und importieren.

Den Typ, das genutzte Template und Daten müsste man aus dem alten Zertifikat ablesen können.

Hole Dir am Besten externe Unterstützung.

[Nobbyaushb 1.484]

Wie kann ein so alter Server in Betrieb sein?

 

-Kommentar gelöscht-

 

Selbstsignierte Zertifikate sind mit Exchange nicht supportet - entweder aus einer PKI (die ja defekt ist) oder extern signiert, was ich immer bevorzuge.

Split-DNS und die Zertifikate sind in 10 min eingerichtet, und externe Zertifikate kosten nicht mehr die Welt.

[tob.s 0]

Erstmal Danke für eure Hilfe

 

Tjo das mit den "alten Schätzchen" hat mann ja immermal wieder ( ala: läuft doch seit Jahren fehlerfrei  und nun wollen die das ändern... )

Wir betreuen die Domäne erst seit ein paar Monaten - wie gesagt, die Zuständigen sind bereits überzeugt, doch andere Projekte haben Vorrang. 

 

Manuell erstellen klingt gut, an die Daten des abgelaufen Zerts komme ich rann. Könnt ihr mir noch ein zwei Sätze schreiben wo ich anfange ? - den Rest google ich mir dann hoffentlich zusammen.

 

 

 

bearbeitet 1. Februar 2018 von tob.s

[testperson 1.728]

Um welche Exchange Version geht es denn überhaupt?

Erstelle doch einfach einen CSR und lass dir diesen von einer öffentlichen CA signieren. Dann hast du zumindest schonmal das Zertifikat "sauber".

[tob.s 0]

sorry - Exchange Server 2007

[testperson 1.728]

Dann SplitDNS, Zertifikat beantragen / installieren, URLs anpassen.

[Nobbyaushb 1.484]

vor einer Stunde schrieb tob.s:

sorry - Exchange Server 2007

Auch sorry - den der ist auch schon seit dem 11.04.2017 vollständig aus dem Support.

 

Wiederhole meine Ansicht / Meinung von meinem anderen Post.

 

Da habt ihr noch viel zu tun....

[tob.s 0]

ich weis... -  zumindest abgesegnet ist es ja schon ( und das ist manchmal ja schwieriger als der ganze rest  )

 

https://www.interssl.com/de/cart.php?a=confproduct&i=0

wäre ein solches externes Zert. geeignet ? / bzw hat wer nen Tipp für mich wo es das passende besonders günstig gibt  ?

 

naja ich werd den "Entscheidern" mal die Möglichkeiten mitteilen und sehen, was das gibt.

Ansonsten Danke ich für die Hilfe 

 

[zahni 558]

Letsencrypt  kann man sicher auch nehmen, wenn es um die  "drei Euro fünfzig" geht.

Der Validierungsprozess ist eventuell etwas kompliziert:

 

https://letsencrypt.org/how-it-works/

[tob.s 0]

Danke, schaue ich mir morgen an

 

schönen Abend euch allen