Exchange Zertifikat wird nach Import nicht angezeigt

[lutz-sprangenberg 1]

Guten Morgen,

 

ich betreue einen Exchange 2013 Server mit den letzten Updates. Ich wollte ein von Let's Encrypt erstelltes Zertifikat importieren.

 

Die einzelnen Dateien habe ich mit openssl zu einem pfx zusammengeführt:

openssl pkcs12 -export -out certificate.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem

 

Ich kann dieses auch in Windows oder mit der Exchange ECP importieren und es erscheint in der MMC Zertifikate unter Lokale Computer-Eigene Zertifikate mit dem Private Key Symbol. Leider kann ich es via Get-ExchangeCertificate oder in der ECP nicht sehen und somit auch nicht zuweisen.

 

Ob ich den Import via Web-Gui oder Powershell mache, hat das gleiche Ergebnis.

 

Hat noch jemand eine Idee?

 

Viele Grüße

Lutz

[mikro 67]

Moin,

 

probier mal imd CMD certutil –repairstore my <serial number>  Du musst Dir unter certlm.msc die Seriennummer des Zertifikats raussuchen und Ohne Spaces hier nutzen.

Gruß Mikro

[cj_berlin 1.315]

Moin,

 

welchen Fehler bekommst Du denn, wenn Du Enable-ExchangeCertificate zu diesem Zertifikat versuchst? Die Fehlermeldung enthält da meistens sachdienliche Hinweise  

[lutz-sprangenberg 1]

vor einer Stunde schrieb cj_berlin:

Moin,

 

welchen Fehler bekommst Du denn, wenn Du Enable-ExchangeCertificate zu diesem Zertifikat versuchst? Die Fehlermeldung enthält da meistens sachdienliche Hinweise  

 

Es kommt die Meldung Zertifikat mit dem Fingerabdruck nicht vorhanden. Das ist ja das Problem, das ich es mit Get-ExchangeCertificate schon gar nicht sehe. Es ist aber in der Windows MMC zu sehen.

 

vor 1 Stunde schrieb mikro:

Moin,

 

probier mal imd CMD certutil –repairstore my <serial number>  Du musst Dir unter certlm.msc die Seriennummer des Zertifikats raussuchen und Ohne Spaces hier nutzen.

Gruß Mikro

 

Verschlüsselungstest wurde durchgeführt
CertUtil: -repairstore-Befehl wurde erfolgreich ausgeführt.

 

Hat aber leider keine Besserung gebracht. 

 

Habe auch schon versucht den Server & iis neuzustarten. 

 

Als Info kann ich noch sagen, das ich im IIS das Zertifikat bei einer HTTPS Bindung auswählen könnte.

 

Viele Grüße

Lutz

[NorbertFe 2.034]

vor 5 Minuten schrieb lutz-sprangenberg:

das ich im IIS das Zertifikat bei einer HTTPS Bindung auswählen könnte.

Das solltest du bei Exchange aber nicht tun. :)

[lutz-sprangenberg 1]

Gerade eben schrieb NorbertFe:

Das solltest du bei Exchange aber nicht tun. :)

 

Ich wollte nur wissen, ob es tendenziell möglich wäre

[NorbertFe 2.034]

vor 1 Stunde schrieb lutz-sprangenberg:

Ich wollte ein von Let's Encrypt erstelltes Zertifikat importieren.

Warum eigentlich so umständlich per openssl? Es gibt für Exchange doch auch entsprechende Skripte die das für dich übernehmen würden. 

[mikro 67]

Exportier das Zertifikat doch unter certlm.msc mit privatem Schlüssel etc nochmal und binde es dann wieder ein, direkt in der Exchange "Gui"

[lutz-sprangenberg 1]

vor 5 Minuten schrieb mikro:

Exportier das Zertifikat doch unter certlm.msc mit privatem Schlüssel etc nochmal und binde es dann wieder ein, direkt in der Exchange "Gui"

 

Hab ich auch schon versucht, klappt leider auch nicht :-(

 

vor 7 Minuten schrieb NorbertFe:

Warum eigentlich so umständlich per openssl? Es gibt für Exchange doch auch entsprechende Skripte die das für dich übernehmen würden. 

 

Hab einen nginx-reverse-proxy davor und das Zertifikat da sowieso erstellt für die URLs. Hab mir jetzt zum Testen erstmal nur die Dateien geholt und wollte prüfen, ob das so klappt mit dem Let's Encrypt Zertifikat.

 

Habe aber nur OWA nach aussen offen. Der rest ist nur via VPN erreichbar. DNS mache ich hier im Splitt-Modus.

bearbeitet 10. Februar 2022 von lutz-sprangenberg

[NorbertFe 2.034]

vor 2 Minuten schrieb lutz-sprangenberg:

DNS mache ich hier im Splitt-Modus.

Und wozu dann die internen ZUgriffe nicht auch über den Reverse Proxy? Die müssen/sollen ja nicht direkt auf den Exchange. :)

[lutz-sprangenberg 1]

Gerade eben schrieb NorbertFe:

Und wozu dann die internen ZUgriffe nicht auch über den Reverse Proxy? Die müssen/sollen ja nicht direkt auf den Exchange. :)

 

Das lief nicht gut und hat immer Fehler geworfen.

Verwende ein Docker-Image (https://hub.docker.com/r/jc21/nginx-proxy-manager). Wenn du das damit schon einmal zum Laufen bekommen hast, bin ich für alles offen :-D

[NorbertFe 2.034]

Gerade eben schrieb lutz-sprangenberg:

Wenn du das damit schon einmal zum Laufen bekommen hast, bin ich für alles offen :-D

Nein ich hab hier nen Kemp im Einsatz und da läuft das ;) Vielleicht wär das ja ne Alternative für dich.

[lutz-sprangenberg 1]

vor 4 Minuten schrieb NorbertFe:

Nein ich hab hier nen Kemp im Einsatz und da läuft das ;) Vielleicht wär das ja ne Alternative für dich.

 

Arbeite in einer kleinen Kommune. Hier wird alles was Geld kostet erstmal skeptisch betrachtet. Das meiste versuche ich mit OpenSource zu regeln.

bearbeitet 10. Februar 2022 von lutz-sprangenberg

[cj_berlin 1.315]

https://freeloadbalancer.com/ 

[NorbertFe 2.034]

Gerade eben schrieb lutz-sprangenberg:

Arbeite in einer kleinen Kommune. Hier wird alles was Geld kostet erstmal skeptisch betrachtet. Das meiste Versuche ich mit OpenSource zu regeln.

 

1, gibts den auch als Freeversion (dann begrenzt auf 20Mbit) (würde also für vieles ausreichen) und 2. ist irgendwie immer der Irrglaube da, dass es billiger wird, wenn man selbst anfängt zu basteln. :) Ich glaub die Diskussion gabs hier im Board neulich schon mal.

https://freeloadbalancer.com/

 

Vielleicht überzeugt dich ja auch einfach die Lösung.