Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Exchange 2007 Zertifikat erneuern

Mitglied: uLmi

uLmi (Level 2) - Jetzt verbinden

11.08.2011, aktualisiert 17:18 Uhr, 7610 Aufrufe, 11 Kommentare

Hallo Leute,

ich habe von meinem Unix Admin das neue Wildcard Zertifikat von Thawte bekommen und soll es jetzt in den Exchange einpflegen.

wir haben bereits ein Wildcard Zertikat von Thawte im Exchange und wenn ich das neue Importieren möchte bekomme ich die meldung, dass ein Zert mit dem selben Fingerabdruck schon vorhanden ist.

muss ich das alte erstmal via remove-exchangecertificate löschen damit ich das neue importieren kann ????

Gruß
uLmi

PS: macht nichts wenns schnell geht
Mitglied: KarlKommnichklar
11.08.2011 um 19:24 Uhr
Hallo Ulmi,
Dann mach das doch!
Wie? Das Ergebnis von http://www.google.de/search?q=remove-exchangecertificate ist

http://technet.microsoft.com/de-de/library/aa997569(EXCHG.80).aspx

Gruß,

Karl

p.s.

Hilf Dir selbst, dann hilft Dir Karl
Bitte warten ..
Mitglied: filippg
11.08.2011 um 21:00 Uhr
Hallo,

ich würde behaupten, der Admin hat dir das falsche Zertifikat gegeben. Wenn der Thumbprint gleich ist, ist auch das Zertifikat gleich, sprich: er hat dir das alte nochmal geschickt. Falls es doch das neue sein sollte, solltest du beide ausdrucken & einrahmen lassen: Das für zwei unterschiedliche Klartexte der gleiche kryptopgraphische Hash (das ist ein Thumbprint) erzeugt wird ist zwar keinesfalls unmöglich, aber so unwahrscheinlich, dass ein 6er im Lotto ein Scherz dagegen ist.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:05 Uhr
ja sowas mache ich aber nicht während der Arbeitszeit.
ich probier das morgen aus.
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:18 Uhr
Hi,

die thumbprints sind unterschiedlich.
wenn ich das neue importieren will sagt er thumbprint schon vorhanden.
bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
muss ich die alte umbedingt vorher entfernen ? wegen dem gleichen domainnamen
aber er meckert ja wegen dem Thumbprint ...

Ich habe das ursprünglich PEM in eine CER mit Openssl konvertiert. Mit einer PKCS hab ich es auch schon probiert.
http://www.msxfaq.net/signcrypt/openssl.htm


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
12.08.2011 um 22:30 Uhr
Hallo,

bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
doch, so ist es üblich. Wenn es bei dir anders ist, ist was falsch...

die thumbprints sind unterschiedlich.
Bist du dir sicher, dass du das Zertifikat nicht schon in den Cert-Store hinterlegt hast (geg. auch in einen anderen Zweig, also etwa "Other Persons"? Wichtig ist, dass du im Store vom SYSTEM-Konto suchst: Run -> mmc -> Add Snapin -> Certificates und dort dann auswählen, dass der Store des Computerkontos geöffnet werden soll.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 00:50 Uhr
danke für den hinweis ich bin mir nicht genau sicher was du meinst aber ich schau mir das später an und beurteile dann ob es geholfen hat

danke und gruß
uLmi
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 15:14 Uhr
also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.

folgendes ergebniss kommt:

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
CERT_CHAIN_CONTEXT --------
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)

CertContext[0][0]: dwInfoStatus=4 dwErrorStatus=1000040
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=Firma GmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung

Exclude leaf cert:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Full chain:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Missing Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=FirmaGmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden. 0x800b010a (-2146762486
)
Thumbprint Services Subject
-------- -------
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX ..... CN=*.firma.de, OU=IT, O=Firma GmbH, L=Erkrath, S=Nordrh...



wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.

Ich glaube die meldung:
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.
ist wichtig aber was soll ich jetzt machen, die CA vom alten Certi ist ja drin brauche ich eine neue CA ?
die alte CA heißt: Thawte Premium Server CA
die neue CA heißt: Thawte SSL CA

kann es daran liegen das er die Kette nicht findet ?
wenn ich unter Vertrauenswürdige Stammzertifizierungsstellen gucke, sehe ich: Thawte Premium Server CA und Thawte Timestamping CA aber nichts was zu dem neuen Cert passen würde.

das liegt bestimmt daran oder ?

ich habe jetzt auf thawte die root CA runtergeladen aber die heißen auch alle "Thawte Premium Server CA und nicht Thawte SSL CA


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
13.08.2011 um 15:59 Uhr
Hallo,

also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.
Also war das _neue_ Zeritifkat bereits importiert? Somit wäre also wenigstens die Meldung mit dem "Schon Zertifikat mit gleichem Zertifikat vorhanden" erklärt. Richtig?

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
Du hast es doch schon über die MMC importiert. Warum willst du es dann nochmal über PS importieren?

wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.
Das könnte drei Ursachen haben:
1. das Zertifikat liegt nicht unter eigene Zertifikate im CertStore von Computerkonto
2. du hast keinen privaten Schlüssel
3. Exchange traut dem Zertifikat nicht

1.+2. kannst du in der MMC überprüfen. Den Pfad, wo es abgelegt ist, siehst du ja direkt. Und wenn du auf das Zertifikat doppelklickst öffnet sich ja das Fenster mit den Zertifikatseigenschaften. Hier muss auf dem ersten Reiter unten stehen "Sie besitzen einen prviaten Schlüssel für das Zertifikat".
Am Wahrscheinlichsten ist aber natürlich das mit der Zertifikatskette, nachdem das schon gemeldet wurde. Und ja, das ist wichtig. Und ja, es kann gut sein, dass du entweder ein neues Trusted Root-Zertifikat hinzufügen musst oder ein Zwischenzertifikat. Der Sinn eines gekauften Zertifikats ist es aber eigentlich, dass das Root-Zertifikat bei allen möglichen Clients schon von Haus aus (als vertrauenswürdig) vorhanden ist.
Sprich denjenigen an, von dem du das Zertifikat hast, er soll dir weiterhelfen.
Oder versuch mal: Speichere das Zertifikat von https://search.thawte.com/support/ssl-digital-certificates/index?page=co ... in eine Datei mit der Endung .cer und importiere es unter Zwischenzertifizierungsstellen (wieder im Computerkonto natürlich).

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 17:28 Uhr
ich hab es vom PEM in eine PFX convert. diese Datei habe ich auf dem Server mit dem IIS importiert und danach war es auch in der liste bei "get-ExchangeCert..)
dann habe ich die Dienste umgelegt.

Bei Outlook (Autodiscover) bekomme ich die meldung, dass die Zertifizierungsstelle nicht ermittelt werden konnte.
Wenn ich den Webmailer aufrufe sagt er auch, dass die Seite nicht Vertrauenswürdig ist.

Das was du auf der Thawte Seite gefunden hast, ist glaube ich schon ganz gut. zumindest habe ich es am Server eingepflegt und es passt genau zu dem Herrausgeben des Zertifikates, also: Thawte SSL CA

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.

Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.

Ich könnte wieder so kotzen ...

Danke dir trotzdem für deine Unterstützung (selbst am WE)


Edit: Zertifikats informationen:

Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden.
Ausgestellt für: *.firma.de
Ausgestellt von: Thawte SSL CA


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
14.08.2011 um 00:03 Uhr
Hallo,

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.
Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Die Clients müssen das Ausstellerzertifikat nicht direkt als vertrauenswürdiges Root-Zertifikat hinterlegt haben, sie müssen es nur auf ein solches zurückführen können. Das ist die Sache mit den Zertifikatsketten. Wenn dein Zert von "Thawte SSL CA" signiert ist, und dieses wiederum von "Thawte Premium Server CA" (oder einem anderen, dem der Client vertraut), dann ist alles in bester Ordnung. Deswegen schrieb ich auch, dass du es in den Zwischenzertifizierungsstellen hinzufügen solltest. Der Server liefert bei Anfragen nicht nur dein Zertifikat aus, sondern auch alle Zwischenzertifikate, die zum Erstellen der Zertifikatskette benötigt werden. Und der Client bildet dann eine transitive Vertrauenskette von dem bei ihm gespeicherten Root-Zertifikat bis zu deinem Zertifikat. Wenn du das Zertifikat von der Homepage mal betrachtest, wirst du feststellen, dass es von "thawte Primary Root CA" unterzeichnet ist. Und der vertraut Windows.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
16.08.2011 um 10:33 Uhr
Okay auf jedenfall läuft es jetzt.

ich habe das Cert wie du gesagt hattest auch in die zwischen zertifizierungsstellen beim server eingetragen und am montag gab es keine Probleme... komisch nur dass ich am Samstag diese Fehler bekam.

Naja Thema erledigt.

Wichtig waren folgende dinge (zumindest für meine auffassung):

1. eine PFX als zu importierendes Format.
2. import via IIS Manager
3. das Zertifikat in die zwischenzertifizierungstelle kopieren oder war es das CA ? keine ahnung...



Thema gelöst !

Danke noch mal !

uLmi
Bitte warten ..
Ähnliche Inhalte
Exchange Server
SBS Zertifikat erneuern
gelöst Frage von CheliosExchange Server8 Kommentare

Hallo zsm, ich komme grad nicht weiter, folgendes SBS 2011, das Zertifikat ist seit anfang Dezember abgelaufen, hab über ...

Exchange Server
Lokales Zertifikat erneuern
Frage von windows10Exchange Server2 Kommentare

Moin Ich möchte mein Lokales selbstsigniertes Exchange Zertifikat erneuern werde aber aus der Meldung nicht schlau welche erscheint wenn ...

Windows Server
SBS 2011 Zertifikat erneuern
gelöst Frage von GlennMWindows Server4 Kommentare

Hallo Leute, ich wollte eben auf einem von mir betreuten SBS2011 das selbst ausgestellte Zertifikat erneuern. Dabei stellte ich ...

Netzwerke

Erneuern eines Zertifikats mit demselben Schlüssel!!?

gelöst Frage von babyloniaNetzwerke20 Kommentare

Hi, ich habe versucht ein abgelaufenes Zertifikat zu erneuern. Kommt diese Fehlermeldung: Danke

Neue Wissensbeiträge
Windows Server

SBS 2011: Installation von KB4457144 schlägt beim Reboot fehl - Von Dienst gesperrte Schriftart ursächlich

Tipp von the-buccaneer vor 1 StundeWindows Server

Moinsen zusammen! Das hat mich einige graue Haare gekostet: Ein SBS 2011 weigerte sich schon im August, das monatl. ...

Windows Netzwerk
Browser-Lags und IPv6
Erfahrungsbericht von NixVerstehen vor 7 StundenWindows Netzwerk1 Kommentar

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 9 StundenHumor (lol)5 Kommentare

Was es so alles gibt. :-)

Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 1 TagWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...