Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Exchange 2007 Zertifikat erneuern

Mitglied: uLmi

uLmi (Level 2) - Jetzt verbinden

11.08.2011, aktualisiert 17:18 Uhr, 7620 Aufrufe, 11 Kommentare

Hallo Leute,

ich habe von meinem Unix Admin das neue Wildcard Zertifikat von Thawte bekommen und soll es jetzt in den Exchange einpflegen.

wir haben bereits ein Wildcard Zertikat von Thawte im Exchange und wenn ich das neue Importieren möchte bekomme ich die meldung, dass ein Zert mit dem selben Fingerabdruck schon vorhanden ist.

muss ich das alte erstmal via remove-exchangecertificate löschen damit ich das neue importieren kann ????

Gruß
uLmi

PS: macht nichts wenns schnell geht
Mitglied: KarlKommnichklar
11.08.2011 um 19:24 Uhr
Hallo Ulmi,
Dann mach das doch!
Wie? Das Ergebnis von http://www.google.de/search?q=remove-exchangecertificate ist

http://technet.microsoft.com/de-de/library/aa997569(EXCHG.80).aspx

Gruß,

Karl

p.s.

Hilf Dir selbst, dann hilft Dir Karl
Bitte warten ..
Mitglied: filippg
11.08.2011 um 21:00 Uhr
Hallo,

ich würde behaupten, der Admin hat dir das falsche Zertifikat gegeben. Wenn der Thumbprint gleich ist, ist auch das Zertifikat gleich, sprich: er hat dir das alte nochmal geschickt. Falls es doch das neue sein sollte, solltest du beide ausdrucken & einrahmen lassen: Das für zwei unterschiedliche Klartexte der gleiche kryptopgraphische Hash (das ist ein Thumbprint) erzeugt wird ist zwar keinesfalls unmöglich, aber so unwahrscheinlich, dass ein 6er im Lotto ein Scherz dagegen ist.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:05 Uhr
ja sowas mache ich aber nicht während der Arbeitszeit.
ich probier das morgen aus.
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:18 Uhr
Hi,

die thumbprints sind unterschiedlich.
wenn ich das neue importieren will sagt er thumbprint schon vorhanden.
bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
muss ich die alte umbedingt vorher entfernen ? wegen dem gleichen domainnamen
aber er meckert ja wegen dem Thumbprint ...

Ich habe das ursprünglich PEM in eine CER mit Openssl konvertiert. Mit einer PKCS hab ich es auch schon probiert.
http://www.msxfaq.net/signcrypt/openssl.htm


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
12.08.2011 um 22:30 Uhr
Hallo,

bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
doch, so ist es üblich. Wenn es bei dir anders ist, ist was falsch...

die thumbprints sind unterschiedlich.
Bist du dir sicher, dass du das Zertifikat nicht schon in den Cert-Store hinterlegt hast (geg. auch in einen anderen Zweig, also etwa "Other Persons"? Wichtig ist, dass du im Store vom SYSTEM-Konto suchst: Run -> mmc -> Add Snapin -> Certificates und dort dann auswählen, dass der Store des Computerkontos geöffnet werden soll.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 00:50 Uhr
danke für den hinweis ich bin mir nicht genau sicher was du meinst aber ich schau mir das später an und beurteile dann ob es geholfen hat

danke und gruß
uLmi
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 15:14 Uhr
also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.

folgendes ergebniss kommt:

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
CERT_CHAIN_CONTEXT --------
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)

CertContext[0][0]: dwInfoStatus=4 dwErrorStatus=1000040
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=Firma GmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung

Exclude leaf cert:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Full chain:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Missing Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=FirmaGmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden. 0x800b010a (-2146762486
)
Thumbprint Services Subject
-------- -------
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX ..... CN=*.firma.de, OU=IT, O=Firma GmbH, L=Erkrath, S=Nordrh...



wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.

Ich glaube die meldung:
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.
ist wichtig aber was soll ich jetzt machen, die CA vom alten Certi ist ja drin brauche ich eine neue CA ?
die alte CA heißt: Thawte Premium Server CA
die neue CA heißt: Thawte SSL CA

kann es daran liegen das er die Kette nicht findet ?
wenn ich unter Vertrauenswürdige Stammzertifizierungsstellen gucke, sehe ich: Thawte Premium Server CA und Thawte Timestamping CA aber nichts was zu dem neuen Cert passen würde.

das liegt bestimmt daran oder ?

ich habe jetzt auf thawte die root CA runtergeladen aber die heißen auch alle "Thawte Premium Server CA und nicht Thawte SSL CA


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
13.08.2011 um 15:59 Uhr
Hallo,

also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.
Also war das _neue_ Zeritifkat bereits importiert? Somit wäre also wenigstens die Meldung mit dem "Schon Zertifikat mit gleichem Zertifikat vorhanden" erklärt. Richtig?

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
Du hast es doch schon über die MMC importiert. Warum willst du es dann nochmal über PS importieren?

wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.
Das könnte drei Ursachen haben:
1. das Zertifikat liegt nicht unter eigene Zertifikate im CertStore von Computerkonto
2. du hast keinen privaten Schlüssel
3. Exchange traut dem Zertifikat nicht

1.+2. kannst du in der MMC überprüfen. Den Pfad, wo es abgelegt ist, siehst du ja direkt. Und wenn du auf das Zertifikat doppelklickst öffnet sich ja das Fenster mit den Zertifikatseigenschaften. Hier muss auf dem ersten Reiter unten stehen "Sie besitzen einen prviaten Schlüssel für das Zertifikat".
Am Wahrscheinlichsten ist aber natürlich das mit der Zertifikatskette, nachdem das schon gemeldet wurde. Und ja, das ist wichtig. Und ja, es kann gut sein, dass du entweder ein neues Trusted Root-Zertifikat hinzufügen musst oder ein Zwischenzertifikat. Der Sinn eines gekauften Zertifikats ist es aber eigentlich, dass das Root-Zertifikat bei allen möglichen Clients schon von Haus aus (als vertrauenswürdig) vorhanden ist.
Sprich denjenigen an, von dem du das Zertifikat hast, er soll dir weiterhelfen.
Oder versuch mal: Speichere das Zertifikat von https://search.thawte.com/support/ssl-digital-certificates/index?page=co ... in eine Datei mit der Endung .cer und importiere es unter Zwischenzertifizierungsstellen (wieder im Computerkonto natürlich).

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 17:28 Uhr
ich hab es vom PEM in eine PFX convert. diese Datei habe ich auf dem Server mit dem IIS importiert und danach war es auch in der liste bei "get-ExchangeCert..)
dann habe ich die Dienste umgelegt.

Bei Outlook (Autodiscover) bekomme ich die meldung, dass die Zertifizierungsstelle nicht ermittelt werden konnte.
Wenn ich den Webmailer aufrufe sagt er auch, dass die Seite nicht Vertrauenswürdig ist.

Das was du auf der Thawte Seite gefunden hast, ist glaube ich schon ganz gut. zumindest habe ich es am Server eingepflegt und es passt genau zu dem Herrausgeben des Zertifikates, also: Thawte SSL CA

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.

Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.

Ich könnte wieder so kotzen ...

Danke dir trotzdem für deine Unterstützung (selbst am WE)


Edit: Zertifikats informationen:

Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden.
Ausgestellt für: *.firma.de
Ausgestellt von: Thawte SSL CA


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
14.08.2011 um 00:03 Uhr
Hallo,

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.
Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Die Clients müssen das Ausstellerzertifikat nicht direkt als vertrauenswürdiges Root-Zertifikat hinterlegt haben, sie müssen es nur auf ein solches zurückführen können. Das ist die Sache mit den Zertifikatsketten. Wenn dein Zert von "Thawte SSL CA" signiert ist, und dieses wiederum von "Thawte Premium Server CA" (oder einem anderen, dem der Client vertraut), dann ist alles in bester Ordnung. Deswegen schrieb ich auch, dass du es in den Zwischenzertifizierungsstellen hinzufügen solltest. Der Server liefert bei Anfragen nicht nur dein Zertifikat aus, sondern auch alle Zwischenzertifikate, die zum Erstellen der Zertifikatskette benötigt werden. Und der Client bildet dann eine transitive Vertrauenskette von dem bei ihm gespeicherten Root-Zertifikat bis zu deinem Zertifikat. Wenn du das Zertifikat von der Homepage mal betrachtest, wirst du feststellen, dass es von "thawte Primary Root CA" unterzeichnet ist. Und der vertraut Windows.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
16.08.2011 um 10:33 Uhr
Okay auf jedenfall läuft es jetzt.

ich habe das Cert wie du gesagt hattest auch in die zwischen zertifizierungsstellen beim server eingetragen und am montag gab es keine Probleme... komisch nur dass ich am Samstag diese Fehler bekam.

Naja Thema erledigt.

Wichtig waren folgende dinge (zumindest für meine auffassung):

1. eine PFX als zu importierendes Format.
2. import via IIS Manager
3. das Zertifikat in die zwischenzertifizierungstelle kopieren oder war es das CA ? keine ahnung...



Thema gelöst !

Danke noch mal !

uLmi
Bitte warten ..
Ähnliche Inhalte
Exchange Server
SBS Zertifikat erneuern
gelöst Frage von CheliosExchange Server8 Kommentare

Hallo zsm, ich komme grad nicht weiter, folgendes SBS 2011, das Zertifikat ist seit anfang Dezember abgelaufen, hab über ...

Exchange Server
Lokales Zertifikat erneuern
Frage von windows10Exchange Server2 Kommentare

Moin Ich möchte mein Lokales selbstsigniertes Exchange Zertifikat erneuern werde aber aus der Meldung nicht schlau welche erscheint wenn ...

Windows Server
SBS 2011 Zertifikat erneuern
gelöst Frage von GlennMWindows Server4 Kommentare

Hallo Leute, ich wollte eben auf einem von mir betreuten SBS2011 das selbst ausgestellte Zertifikat erneuern. Dabei stellte ich ...

Windows Server
Zertifikat erneuern schlägt fehl
Frage von Tacker32Windows Server4 Kommentare

Hallo, das Domänen-Controller Zertifikat auf unserem SBS2011 läuft in 3 Monaten ab. Beim Versuch dieses zu erneuern erhalte ich ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 32 MinutenSonstige Systeme1 Kommentar

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 3 StundenDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 8 StundenWindows 102 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 20 StundenHumor (lol)1 Kommentar

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
Java
Testautomatisierung
gelöst Frage von WPFORGEJava16 Kommentare

Hallo, nehmen wir an, es gibt eine Webseite mit einer Karte und einem Suchfeld. Nun wird in das Suchfeld ...

Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen13 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

Viren und Trojaner
Office365 Trojaner Analyse
Frage von ZeppelinViren und Trojaner13 Kommentare

Liebe Community, ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
gelöst Frage von Leo-leFirewall12 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...