Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2007 neues Zertifikat erstellen

Frage Microsoft Exchange Server

Mitglied: chrischieeee

chrischieeee (Level 1) - Jetzt verbinden

03.09.2010 um 11:10 Uhr, 17324 Aufrufe, 11 Kommentare, 1 Danke

Hallo zusammen,

ich brauche mal wieder eure Hilfe. Beim Kunden ist das Exchange Zertifikate abgelaufen und die bekommen im OWA andauernd die Meldung, Zertifikatsfehlermeldung oder so,
Nun habe ich mich mit der Geschichte beschäftigt und an der Exchange Shell zu schaffen gemacht.

Ich bin wie folgt vorgegangen:

1. Zertifikate anfordern in der Exchange Shell -> als admin ausgeführt
New-ExchangeCertificate
-GenerateRequest
-SubjectName "C=DE, O=Firmenname, CN=BlaBla"
-includeAcceptedDomains
-DomainName Autodiscover,Dateiserver,Autodiscover.Domain.local,Dateiserver.domain.local
-FriendlyName "Dateiserver" -KeySize 2048
-PrivateKeyExportable $true -Path C:\ex1.req

(BlaBla -> steht dann natürlich nicht)

2. https://dateiserver/certsrv -> Zertifikat anfordern

3. Zertifikat in Zertifizierungsstelle Zugestellt (Fingerabdruck des Zertifikats) und Kopie erstellt als ex1.cer

4. Import-ExchangeCertificate -path C:\ex1.cer

5. enable-exchangecertificate thumbprint (Fingerabdruck des Zertifikats) -services IMAP,POP,SMTP

Was ich da vergessen habe ist "IIS"

6. Export-exchangecertificate -thumbprint (Fingerabdruck des Zertifikats) -binaryencoded:$true -path c:\cert.ex1.pfx -passwordget-crendtail).Password

Danach hatte er das Zertifikate *.pfx erstellt und ich dachte, alles klar erledigt. Nun ist aber das Problem, wenn die von zu Hause aus OWA nutzen wollen, dann steht immer noch das alte Zertifikate drin. Muss das händisch gelöscht und das Neue importiert werden, und muss das alte Zertifikate aus der Zertifizierungsstelle gelöscht werden?

Vielen Dank schon mal für eure Hilfe
Mitglied: eumel1979
03.09.2010 um 11:59 Uhr
Und im IIS hast du das zertifikat auch hinzugefügt bzw. ersetzt???
Bitte warten ..
Mitglied: chrischieeee
03.09.2010 um 12:14 Uhr
Ich habe im Schritt 5 vergessen den "IIS" anzugeben. Oder muss ich im IIS direkt das alte Zertifikate löschen und das neue anlegen, und wenn, kannst Du mir beschreiben wo ich das ändern muss.
Danke
Bitte warten ..
Mitglied: eumel1979
03.09.2010 um 12:28 Uhr
Also...schaust du dort mal.
http://exchangepedia.com/2008/01/exchange-server-2007-renewing-the-self ...

so mache ich es immer.
und zur not nochmal neu anlegen.

im iis musst du nur das vorhandene Zert ersetzen. löschen lass mal lieber
Bitte warten ..
Mitglied: chrischieeee
03.09.2010 um 13:13 Uhr
Ich beziehe mich jetzt auf deinen Link.
Bis zum Punkt 1 ist soweit alles klar, deckt sich auch mit meiner Vorgehensweise (siehe oben) ab. Nur habe ich den Punkt zwei und drei nicht gemacht

"The old certificate is enabled for IIS, POP, IMAP and SMTP. The new certificate generated using the above command is enabled only for POP, IMAP and SMTP – IIS is missing."
-> das alte Zertifikat ist abgelaufen?


"To enable the certificate for IIS:

Enable-ExchangeCertificate -thumbprint “3DA55740509DBA19D1A43A9C7161ED2D0B3B9E3E” -services IIS"
-> habe eigentlich gemacht, Punkt 5 (siehe oben), halt nur ohne "IIS"


"Test services are working with the new certificate. If it works as expected, the old certificate can be removed:

Remove-ExchangeCertificate -thumbprint “C5DD5B60949267AD624618D8492C4C5281FDD10F”"

Damit ich es richtig verstehe, ich arbeite meine Vorgehensweise ab, inklu

"enable-exchangecertificate thumbprint (Fingerabdruck des Zertifikats) -services IMAP,POP,SMTP,IIS"

und muss danach den Schritt, Dein Link, Punkt zwei und drei auch noch abarbeitet? Ich denke, wenn alles funktioniert nur Remove.... ausführen.
Leuchtet mir jetzt auch soweit ein. Wie läuft´s aber mit Outlook wird das alte Zertifikat automatisch mit dem neuen überschrieben oder muss ich das alte löschen und das neue importierten.

Nochmals vielen Dank
Bitte warten ..
Mitglied: eumel1979
03.09.2010 um 14:19 Uhr
also wenn du das alles noch machst werden deine Outlook clients glücklich sein
Für OWA muss doch nochm im IIS Manager das alte durch das neue Ersetzen.
( Standardwebsite--> eigenschaften-->verzeichnissicherheit-->Serverzertifikat-->ersetzen-->neues zert aufwählen und glücklich werden. Danach noch ein iis reset in einer cmd und gut ist)

schönes WE
Bitte warten ..
Mitglied: chrischieeee
03.09.2010 um 14:28 Uhr
Vielen Dank, hat mir echt geholfen. Werde es am Montag gleich nochmal testen.
Bitte warten ..
Mitglied: eumel1979
06.09.2010 um 14:24 Uhr
schon getestet?

gruß Eumel
Bitte warten ..
Mitglied: chrischieeee
06.09.2010 um 18:20 Uhr
Kann ich morgen erst testen. Direkt beim Kunden
Zwei Fragen hätte ich aber noch.
Was verbirgt sich hinter den Befehlen:
-FriendlyName "Dateiserver"
und
Autodiscover ?

Danke

Hier nochmal meine komplette Liste.
1. Zertifikats request/Anforderung in Exchange Shell erstellen

New-ExchangeCertificate
-GenerateRequest -SubjectName "C=DE, O=BlaBla, CN=BlaBla"
-includeAcceptedDomains
-DomainName Autodiscover,Dateiserver,Autodiscover.Domain.local,Dateiserver.domain.local
-FriendlyName "Dateiserver"
-KeySize 2048
-PrivateKeyExportable $true
-Path C:\Zert\ex1.req

2. https://dateiserver/certsrv ==> Erstellen des Zertifikats in der Zertifizierungsstelle/Server

3. Zertifikat in Zertifizierungsstelle erstellt (Fingerabdruck des Zertifikats) und Zertifikatsdatei erstellt als ex1.cer

4. Import-ExchangeCertificate -path C:\Zert\ex1.cer

5. Enable-exchangecertificate -thumbprint (Fingerabdruck des Zertifikats) -services IMAP,POP,SMTP,IIS

6. Export-exchangecertificate -thumbprint (Fingerabdruck des Zertifikats) -binaryencoded:$true -path c:\Zert\cert.ex1.pfx -passwordget-crendtail).Password

7. Für OWA muss im IIS Manager das alte durch das neue Ersetzt werden

Standardwebsite--> Eigenschaften--Verzeichnissicherheit-->Serverzertifikat-->ersetzen-->neues Zertifikat aufwählen

8. TESTEN!

9. altes Zertifikat löschen

Remove-ExchangeCertificate -thumbprint (Fingerabdruck des Zertifikats)
Bitte warten ..
Mitglied: chrischieeee
08.09.2010 um 13:11 Uhr
Hallo Eumel,

leider hat´s auch nicht geklappt.
Ich habe nun ein Zertifikat erstellt, nur läuft das nicht in OWA. Die rufen OWA via https://bla.dyndns.org/owa auf.
Hier mal meine Vorgehensweise.

1. Zertifikats request/Anforderung in Exchange Shell erstellen

New-ExchangeCertificate
-GenerateRequest -SubjectName "O=Firmenname, CN=Dateiserver, DC=Bla, DC=local"
-includeAcceptedDomains
-DomainName Dateiserver,Dateiserver.bla.local,relay.bla.local,autodiscover,bla.dyndns.org
-FriendlyName "wima070910"
-KeySize 2048
-PrivateKeyExportable $true -Path C:\cert\certwima070910.req

2. https://dateiserver/certsrv ==> Erstellen des Zertifikats in der Zertifizierungsstelle/Server

3. Zertifikat in Zertifizierungsstelle erstellt (Fingerabdruck des Zertifikats) und Zertifikatsdatei erstellt als C:\cert\certwima070910.cer

4. Import-ExchangeCertificate -path C:\cert\certwima070910.cer

5. Enable-exchangecertificate -thumbprint (Fingerabdruck des Zertifikats) -services IMAP,POP,SMTP,IIS

6. Export-exchangecertificate -thumbprint (Fingerabdruck des Zertifikats) -binaryencoded:$true -path C:\cert\certwima070910.ex1.pfx -passwordget-credential).Password

7. Für OWA muss im IIS Manager das alte durch das neue Ersetzt werden

Standardwebsite--> unter Seite Bearbeiten (Rechte Seite) ->Bindungen ->Zertifikat überprüfen

8. TESTEN!

9. altes Zertifikat löschen

Remove-ExchangeCertificate -thumbprint (Fingerabdruck des Zertifikats)


[PS] C:\Windows\System32>get-exchangecertificate | fl

Dieses Zertifikat habe ich erstellt
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local, relay.bla.local, autodiscover, bla.dyndns.org, onlinehome.de
, hans-e-bla.de, bla.local, h-e-blabla.de}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=blablablaCA, DC=bla, DC=local
NotAfter : 07.09.2011 15:07:42
NotBefore : 07.09.2010 14:57:42
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 1CEE916A000000000010
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=Dateiserver, O=Firmenname, DC=bla,
DC=local
Thumbprint : (Fingerabdruck des Zertifikats)

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local, relay.bla.local, autodiscover.bla.local, bla.dyndns.o
rg}
HasPrivateKey : True
IsSelfSigned : True
Issuer : DC=local, DC=bla, O=Hans E. Bla GmbH, CN=Dat
eiserver
NotAfter : 19.08.2011 13:03:25
NotBefore : 19.08.2010 13:03:25
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 55605B04F2C50BA24FD0943AEE45A096
Services : IMAP, POP, SMTP
Status : Valid
Subject : DC=local, DC=bla, O=Firmenname, CN=Dat
eiserver
Thumbprint : (Fingerabdruck des Zertifikats)

Dieses Zertifikat ist abgelaufen, aus diesen Zertifikate habe ich die Parameter entnommen ->CertificateDomain etc.
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local, relay.bla.local, autodiscover.bla.local, bla.dyndns.o
rg}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=winkelCA, DC=bla, DC=local
NotAfter : 10.12.2009 15:32:59
NotBefore : 10.12.2008 15:22:59
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 12046BB7000000000002
Services : IMAP, POP, SMTP
Status : DateInvalid
Subject : CN=Dateiserver, O=Hans E. Bla GmbH, DC=bla,
DC=local
Thumbprint : (Fingerabdruck des Zertifikats)

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {winkelCA}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=winkelCA, DC=bla, DC=local
NotAfter : 10.12.2108 15:28:38
NotBefore : 10.12.2008 15:18:38
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 24E4945BDAF1B6944A7BB31D1146E6E3
Services : None
Status : Valid
Subject : CN=winkelCA, DC=bla, DC=local
Thumbprint : (Fingerabdruck des Zertifikats)


AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=Dateiserver
NotAfter : 28.10.2009 16:39:42
NotBefore : 28.10.2008 16:39:42
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : C30EEF07087812874873A87B9463D1D3
Services : IMAP, POP, SMTP
Status : Invalid
Subject : CN=Dateiserver
Thumbprint : (Fingerabdruck des Zertifikats)

im IE bekommen die die Meldung:
Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden
oder
Es liegen keine ausreichenden Informationen vor, um dieses Zertifikat zu verifizieren.

Hast Du noch eine Idee?
Bitte warten ..
Mitglied: eumel1979
08.09.2010 um 13:21 Uhr
hi,

schick mir mal bitte per pn die genaue owa adresse damit ich das mal prüfen kann.
Bitte warten ..
Mitglied: chrischieeee
08.09.2010 um 13:29 Uhr
Hi,

kann ich leider nicht. Bitte verstehe mich nicht falsch, aber das Risiko ist mir zu hoch. Gerne kann ich aber was für dich überprüfen.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Exchange Server
gelöst SBS 2008 (Exchange 2007 SP3) - externe URL ändern - neues Zertifikat (8)

Frage von Ezekiel666 zum Thema Exchange Server ...

Internet
gelöst Neues Zertifikat für Exchange (6)

Frage von bootloader zum Thema Internet ...

Exchange Server
Exchange 2007 Datenbank restore ohne Exchange zu verändern - SBS2008

Frage von pitamerica zum Thema Exchange Server ...

DSL, VDSL
Fritzbox Exchange 2007 UM Gateway mit Freetz (2)

Frage von Herbrich19 zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...