3
Exchange Server 2010 - Zertifikat abgelaufen : erneuern
Guten Morgen Liebe Mitglieder 
Bei uns ist das Exchange Zertifikat abgelaufen. Ich wollte es direkt über den IIS Manager erneuern, dort geht es aber nicht. Die Fehlermeldung lautet:
Nun bin ich direkt in der Exchange-Verwaltungskonsole gegangen und kann dort das Zertifikat evt. erneuern.
Dort fragt er mich nach einer *.req Datei. Das Problem, das hat mein Vorgänger alles ohne eine Doku hinterlassen.
Ich habe hier zwei Dateien... Ich weiß nicht welche ich nehmen soll.
Kann ich folgendes tun:?
1. Ein neues Zertifikat mit dem gleichen Aussteller erstellen,
2. Danach erscheint dieses in der Exchange-Verwaltungskonsole. Dort einfach dem Zertifikat folgenden Dienste zuweisen:
3. Dann kommt eine Meldung, ob das alte Zertifikat überschreiben werden soll.. (JA/Nein?)
4. das alte löschen.
Ich habe etwas vom Fingerabdruck in einige Anleitungen etwas gelesen. Gibt das Probleme mit einem neuen Fingerabdruck?
Danke euch für Eure Hilfe
Liebe Grüße
Sachellen
Bei uns ist das Exchange Zertifikat abgelaufen. Ich wollte es direkt über den IIS Manager erneuern, dort geht es aber nicht. Die Fehlermeldung lautet:
Nun bin ich direkt in der Exchange-Verwaltungskonsole gegangen und kann dort das Zertifikat evt. erneuern.
Dort fragt er mich nach einer *.req Datei. Das Problem, das hat mein Vorgänger alles ohne eine Doku hinterlassen.
Ich habe hier zwei Dateien... Ich weiß nicht welche ich nehmen soll.
Kann ich folgendes tun:?
1. Ein neues Zertifikat mit dem gleichen Aussteller erstellen,
2. Danach erscheint dieses in der Exchange-Verwaltungskonsole. Dort einfach dem Zertifikat folgenden Dienste zuweisen:
4. das alte löschen.
Ich habe etwas vom Fingerabdruck in einige Anleitungen etwas gelesen. Gibt das Probleme mit einem neuen Fingerabdruck?
Danke euch für Eure Hilfe
Liebe Grüße
Sachellen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305303
Url: https://administrator.de/contentid/305303
Printed on: April 25, 2024 at 10:04 o'clock
3 Comments
Latest comment
Ich habe das Problem gelöst, indem ich das Zertifikat erneuert habe und dann die Dienste außer SMTP zugewiesen habe. Weil ich nicht weiß, was passiert, wenn ich beim überschreiben des alten Zertifikats bei SMTP für einen Fehler auslösen könnte.
Jetzt bekomme ich aber folgenden Fehler:
Laut den Infos online, hängt es mit dem DNS Eintrag im Zertifikat ab.
Im neu erstellten Zertifikat fehlt mir aber der Punkt "Alternativer Antragstellername" und einige anderen Punkte :/
Hat jemand einen Tipp, wie ich das Zertifikat, das schon abgelaufen ist 1:1 neu erstellen kann, nur halt mit einem neuen Ablaufdatum?
Jetzt bekomme ich aber folgenden Fehler:
Laut den Infos online, hängt es mit dem DNS Eintrag im Zertifikat ab.
Im neu erstellten Zertifikat fehlt mir aber der Punkt "Alternativer Antragstellername" und einige anderen Punkte :/
Hat jemand einen Tipp, wie ich das Zertifikat, das schon abgelaufen ist 1:1 neu erstellen kann, nur halt mit einem neuen Ablaufdatum?
Grundsätzlich solltest Du dir erst einmal eine Übersicht verschaffen, welche internen und externen URIs dein Exchange-Server verwendet.
Im Anschluss forderst Du über die Exchange-Konsole ein Zertifikat ein, welches genau(!) die Hostnamen für die dazugehörigen Dienste beinhaltet.
Du erhältst eine .req Datei.
Diese reichst Du bei deiner Zertifizierungsstelle ein (z.B. über das Webinterface von deinem lokalen AD-Zertifizierungsdienst) und erhältst letztendlich das Zertifikat, dass Du dann in der Exchange-Konsole an die jeweiligen Dienste bindest.
Bitte beachten, dass z.B. die Zertifizierungsstelle vom SBS2011 standardmäßig kein Webinterface "mitbringt". In dem Fall exportiert man den Krempel aus der Zertifizierungsstelle, deinstalliert die Rolle, installiert die Rolle (dieses mal mit Webinterface) und importiert die Sachen aus der Zertifizierungsstelle.
Das alles ist nicht ganz trivial und wenn Du einen Bock schießt (und z.B. den privaten Schlüssel eines Stammzertifikates löscht), hast Du etwas kaputtgemacht, was sich nie wieder herstellen lässt und darfst ggf. deine ganze IT-Infrastruktur auf "nicht mehr handhabbare Zertifikate" filzen und alles "händisch" auf neue Zertifikate stellen.
Lange Rede, kurzer Sinn - Du solltest Dir wirklich überlegen, dich erst einmal grundsätzlich in die Materie einzulesen und im Idealfall üben (z.B. an einer virtuellen Maschine). Ich persönlich habe 6 Monate gebraucht, bis ich da halbwegs durchgestiegen bin.
Im Anschluss forderst Du über die Exchange-Konsole ein Zertifikat ein, welches genau(!) die Hostnamen für die dazugehörigen Dienste beinhaltet.
Du erhältst eine .req Datei.
Diese reichst Du bei deiner Zertifizierungsstelle ein (z.B. über das Webinterface von deinem lokalen AD-Zertifizierungsdienst) und erhältst letztendlich das Zertifikat, dass Du dann in der Exchange-Konsole an die jeweiligen Dienste bindest.
Bitte beachten, dass z.B. die Zertifizierungsstelle vom SBS2011 standardmäßig kein Webinterface "mitbringt". In dem Fall exportiert man den Krempel aus der Zertifizierungsstelle, deinstalliert die Rolle, installiert die Rolle (dieses mal mit Webinterface) und importiert die Sachen aus der Zertifizierungsstelle.
Das alles ist nicht ganz trivial und wenn Du einen Bock schießt (und z.B. den privaten Schlüssel eines Stammzertifikates löscht), hast Du etwas kaputtgemacht, was sich nie wieder herstellen lässt und darfst ggf. deine ganze IT-Infrastruktur auf "nicht mehr handhabbare Zertifikate" filzen und alles "händisch" auf neue Zertifikate stellen.
Lange Rede, kurzer Sinn - Du solltest Dir wirklich überlegen, dich erst einmal grundsätzlich in die Materie einzulesen und im Idealfall üben (z.B. an einer virtuellen Maschine). Ich persönlich habe 6 Monate gebraucht, bis ich da halbwegs durchgestiegen bin.
1
Danke für deine Hilfe! Ich habe das ganze am Ende auch so gelöst.
Habe auch eine kurze Anleitung erstellt, falls ein Anfänger (wie ich) das gleiche Problem bekommt.
1. Als Administrator anmelden, mitdem die Zertifizierungstelle eingerichtet wurde.
2. Exchange Konsole > Serverkonfiguration
3. rechts klick auf abgelaufenes Zertifikat > erneuern
4. Die .csr abspeichern
5. http://localhost/cert (das ist eine Beispiel URL, jeder muss seine eigene kennen)
6. Ein Zertifikat anfordern > erweiterte Zertifikatanforderung ein > "Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet", ein.
7. csr Datei per Notepad öffnen und Inhalt (komplett) in "Gespeicherte Anforderung:" kopieren
8. Als Vorlage "webserver" wählen
9. Zertifikat abspeichern
10. Zurück zu Exchange Konsole > Anforderung abschließen wählen > Zertifikat auswählen > abschließen
11. Dienste zuweisen
12. In zwei Outlook Konten mit gpupdate /force testen
13. altes Zertifikat löschen
Habe auch eine kurze Anleitung erstellt, falls ein Anfänger (wie ich) das gleiche Problem bekommt.
1. Als Administrator anmelden, mitdem die Zertifizierungstelle eingerichtet wurde.
2. Exchange Konsole > Serverkonfiguration
3. rechts klick auf abgelaufenes Zertifikat > erneuern
4. Die .csr abspeichern
5. http://localhost/cert (das ist eine Beispiel URL, jeder muss seine eigene kennen)
6. Ein Zertifikat anfordern > erweiterte Zertifikatanforderung ein > "Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet", ein.
7. csr Datei per Notepad öffnen und Inhalt (komplett) in "Gespeicherte Anforderung:" kopieren
8. Als Vorlage "webserver" wählen
9. Zertifikat abspeichern
10. Zurück zu Exchange Konsole > Anforderung abschließen wählen > Zertifikat auswählen > abschließen
11. Dienste zuweisen
12. In zwei Outlook Konten mit gpupdate /force testen
13. altes Zertifikat löschen
1
