Pete_Nelson 0 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Hallo, ich muss aktuell krankheitsbedingt unseren Exchange Server betreuen. Leider bin ich nicht so tief beim Thema Exchange/Zertifikate drin, sodass ich mein Glück hier mal probiere. Mir ist aufgefallen, dass Ende diesen Monats das oben genannte Zertifikat(selbstsigniert) abläuft. Dieses ist dem SMTP Dienst zugewiesen. Es gibt aber auch ein Wildcardzertifikat (signiert von einer Zertifizierungsstelle), welches den Diensten IMAP, SMTP, IIS und POP zugewiesen ist. Meine Frage lautet nun: Muss das Server Auth Certificate überhaupt erneuert werden, wenn der SMTP Dienst auch dem Wildcardzertifikat zugeweisen ist oder kann ich das Zertifikat bedenkenlos ablaufen lassen, da das Wildcardzertifikat die Aufgabe übernimmt? Schon mal vielen Dank für eure Hilfen und Tipps. Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Überprüfe mal auf dem IIS die unter "Bindungen" zugewiesene Zertifikate für die Defauft Site und Exchange Back End. Wenn dort das eigene Zertifikat zugewiesen ist, musst Du dieses erneuen. Habt Ihr unterschiedliche Domänen für intern und extern - auf welchen Domänen ist das Wildcard bzw. eigene Zertifikat ausgestellt? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 https://blog.icewolf.ch/archive/2018/03/20/exchange-2016-renew-microsoft-exchange-server-auth-certificate.aspx Zitieren Link zu diesem Kommentar
Pete_Nelson 0 Geschrieben 6. April 2021 Autor Melden Teilen Geschrieben 6. April 2021 vor 35 Minuten schrieb winmadness: Überprüfe mal auf dem IIS die unter "Bindungen" zugewiesene Zertifikate für die Defauft Site und Exchange Back End. Wenn dort das eigene Zertifikat zugewiesen ist, musst Du dieses erneuen. Habt Ihr unterschiedliche Domänen für intern und extern - auf welchen Domänen ist das Wildcard bzw. eigene Zertifikat ausgestellt? Wir haben nur eine Domäne für intern und extern. Das Exchange Auth Certificate ist unter Bindungen nicht zugewiesen. Dort ist zumindest in der Default Site das Wildcardzertifikat zu sehen. Zitieren Link zu diesem Kommentar
Beste Lösung winmadness 79 Geschrieben 6. April 2021 Beste Lösung Melden Teilen Geschrieben 6. April 2021 (bearbeitet) Hallo, damit ist die Sache klar und Du benötigst nur das Wildcardzertifikat. Überprüfe aber zur Sicherheit, ob das eigene Zertifikat wirklich nicht aktiviert ist. netsh http show sslcert Zertifikathash entspricht Fingerabdruck des Zertifikates Powershell Exchange Get-ExchangeCertificate | fl bearbeitet 6. April 2021 von winmadness https -> http Zitieren Link zu diesem Kommentar
Pete_Nelson 0 Geschrieben 6. April 2021 Autor Melden Teilen Geschrieben 6. April 2021 vor 10 Minuten schrieb winmadness: Hallo, damit ist die Sache klar und Du benötigst nur das Wildcardzertifikat. Überprüfe aber zur Sicherheit, ob das eigene Zertifikat wirklich nicht aktiviert ist. netsh https show sslcert Zertifikathash entspricht Fingerabdruck des Zertifikates Powershell Exchange Get-ExchangeCertificate | fl Super, vielen Dank! Der Thumbprint von dem Auth Certificate war nicht zu finden. Dann bin ich jetzt beruhigt. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Man könnte den link ja einfach lesen und abarbeiten. Das auth. Zertifikat ist nicht grundlos vorhanden. ;) Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 (bearbeitet) vor 16 Minuten schrieb NorbertFe: Das auth. Zertifikat ist nicht grundlos vorhanden. ;) Verstehe ich nicht so ganz. Er hat doch geprüft, ob das eigene Zertifikat im System oder an Exchange gebunden ist - nach seiner Aussage nein. Ausserdem ist in dem Link die Erstellung eines Zertifikates mit "New-ExchangeCertificate " beschrieben. Ich z.B. verwende zwei Zertifiakte - ein offizielles Wildcard-Zertifikat für SMTP und mein virtuelles ActiveSync Directory und ein mit Windows Zertifizierungsstelle erstelltes für die Default Web Site / Exchange Back End. bearbeitet 6. April 2021 von winmadness Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 (bearbeitet) vor 34 Minuten schrieb winmadness: hat doch geprüft, ob das eigene Zertifikat im System oder an Exchange gebunden ist Wenn du den Artikel gelesen hättest, wüsstest du, dass man das als Laie (und das ist der to nach eigener Aussage hinsichtlich exchange) so gar nicht sieht, weil es in der Auth-config steht und nicht im iis. bearbeitet 6. April 2021 von NorbertFe Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Habe ich verstanden. Deswegen wundert mich Deine Aussage (Zitat) nach der negativen Überprüfung der Bindungen mit netsh und "Get-ExchangeCertificate". Was habe ich übersehen? vor 37 Minuten schrieb NorbertFe: Man könnte den link ja einfach lesen und abarbeiten. Das auth. Zertifikat ist nicht grundlos vorhanden. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Ich hätte ja mal get-authconfig aufgerufen. Da dürfte man dann Klarheit haben. ;) aber wenn nur ein exchange da ist, wird er das sowieso nie merken (außer evtl. In eventlog) Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Alles klar, jetzt habe ich es verstanden. Nur für mein Verständnis. Ich gehe davon aus, dass der eigentliche Exchange Admin das Standard Exchange Auth Zertifikat explizit gelöscht hat, da es mit Get-ExchangeCertificate nicht aufgeführt wird. In diesem Fall wären ja schon früher Fehler (Eventlog) aufgetreten, wenn der nicht gleichzeitig über Set-AuthConfig das Zertifikat neu gesetzt hätte. Oder übersehe ich hier etwas? Sorry, will Dich nicht nevern - ich will es nur verstehen und lerne gerne dazu. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Es gibt bei Exchange seit einiger Zeit ein Backend und ein Frontend im IIS. Daher zwei unterschiedliche Zertifikate. Das eine lässt sich mit Get-ExchangeCertificate anzeigen, das andere mit Get-AuthConfig. Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 @Dukel Bist Du sicher? Noch meiner Kenntnis ist das "Get-AuthConfig" Zertifikat notwendig für die OAuth Authentication und in Hybrid-Umgebungen - entsprechender Artikel hier und hier. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 6. April 2021 Melden Teilen Geschrieben 6. April 2021 Sicher nicht. Du kannst das aber gerne vergleichen. Schau im IIS, was da am Frontend und was am Backend hängt und vergleiche dies mit Get-ExchangeCertificate und Get-AuthConfig. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.