Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2007 Zertifikat erneuern

Frage Microsoft Exchange Server

Mitglied: uLmi

uLmi (Level 2) - Jetzt verbinden

11.08.2011, aktualisiert 17:18 Uhr, 7446 Aufrufe, 11 Kommentare

Hallo Leute,

ich habe von meinem Unix Admin das neue Wildcard Zertifikat von Thawte bekommen und soll es jetzt in den Exchange einpflegen.

wir haben bereits ein Wildcard Zertikat von Thawte im Exchange und wenn ich das neue Importieren möchte bekomme ich die meldung, dass ein Zert mit dem selben Fingerabdruck schon vorhanden ist.

muss ich das alte erstmal via remove-exchangecertificate löschen damit ich das neue importieren kann ????

Gruß
uLmi

PS: macht nichts wenns schnell geht
Mitglied: KarlKommnichklar
11.08.2011 um 19:24 Uhr
Hallo Ulmi,
Dann mach das doch!
Wie? Das Ergebnis von http://www.google.de/search?q=remove-exchangecertificate ist

http://technet.microsoft.com/de-de/library/aa997569(EXCHG.80).aspx

Gruß,

Karl

p.s.

Hilf Dir selbst, dann hilft Dir Karl
Bitte warten ..
Mitglied: filippg
11.08.2011 um 21:00 Uhr
Hallo,

ich würde behaupten, der Admin hat dir das falsche Zertifikat gegeben. Wenn der Thumbprint gleich ist, ist auch das Zertifikat gleich, sprich: er hat dir das alte nochmal geschickt. Falls es doch das neue sein sollte, solltest du beide ausdrucken & einrahmen lassen: Das für zwei unterschiedliche Klartexte der gleiche kryptopgraphische Hash (das ist ein Thumbprint) erzeugt wird ist zwar keinesfalls unmöglich, aber so unwahrscheinlich, dass ein 6er im Lotto ein Scherz dagegen ist.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:05 Uhr
ja sowas mache ich aber nicht während der Arbeitszeit.
ich probier das morgen aus.
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:18 Uhr
Hi,

die thumbprints sind unterschiedlich.
wenn ich das neue importieren will sagt er thumbprint schon vorhanden.
bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
muss ich die alte umbedingt vorher entfernen ? wegen dem gleichen domainnamen
aber er meckert ja wegen dem Thumbprint ...

Ich habe das ursprünglich PEM in eine CER mit Openssl konvertiert. Mit einer PKCS hab ich es auch schon probiert.
http://www.msxfaq.net/signcrypt/openssl.htm


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
12.08.2011 um 22:30 Uhr
Hallo,

bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
doch, so ist es üblich. Wenn es bei dir anders ist, ist was falsch...

die thumbprints sind unterschiedlich.
Bist du dir sicher, dass du das Zertifikat nicht schon in den Cert-Store hinterlegt hast (geg. auch in einen anderen Zweig, also etwa "Other Persons"? Wichtig ist, dass du im Store vom SYSTEM-Konto suchst: Run -> mmc -> Add Snapin -> Certificates und dort dann auswählen, dass der Store des Computerkontos geöffnet werden soll.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 00:50 Uhr
danke für den hinweis ich bin mir nicht genau sicher was du meinst aber ich schau mir das später an und beurteile dann ob es geholfen hat

danke und gruß
uLmi
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 15:14 Uhr
also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.

folgendes ergebniss kommt:

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
CERT_CHAIN_CONTEXT --------
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)

CertContext[0][0]: dwInfoStatus=4 dwErrorStatus=1000040
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=Firma GmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung

Exclude leaf cert:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Full chain:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Missing Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=FirmaGmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden. 0x800b010a (-2146762486
)
Thumbprint Services Subject
-------- -------
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX ..... CN=*.firma.de, OU=IT, O=Firma GmbH, L=Erkrath, S=Nordrh...



wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.

Ich glaube die meldung:
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.
ist wichtig aber was soll ich jetzt machen, die CA vom alten Certi ist ja drin brauche ich eine neue CA ?
die alte CA heißt: Thawte Premium Server CA
die neue CA heißt: Thawte SSL CA

kann es daran liegen das er die Kette nicht findet ?
wenn ich unter Vertrauenswürdige Stammzertifizierungsstellen gucke, sehe ich: Thawte Premium Server CA und Thawte Timestamping CA aber nichts was zu dem neuen Cert passen würde.

das liegt bestimmt daran oder ?

ich habe jetzt auf thawte die root CA runtergeladen aber die heißen auch alle "Thawte Premium Server CA und nicht Thawte SSL CA


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
13.08.2011 um 15:59 Uhr
Hallo,

also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.
Also war das _neue_ Zeritifkat bereits importiert? Somit wäre also wenigstens die Meldung mit dem "Schon Zertifikat mit gleichem Zertifikat vorhanden" erklärt. Richtig?

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
Du hast es doch schon über die MMC importiert. Warum willst du es dann nochmal über PS importieren?

wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.
Das könnte drei Ursachen haben:
1. das Zertifikat liegt nicht unter eigene Zertifikate im CertStore von Computerkonto
2. du hast keinen privaten Schlüssel
3. Exchange traut dem Zertifikat nicht

1.+2. kannst du in der MMC überprüfen. Den Pfad, wo es abgelegt ist, siehst du ja direkt. Und wenn du auf das Zertifikat doppelklickst öffnet sich ja das Fenster mit den Zertifikatseigenschaften. Hier muss auf dem ersten Reiter unten stehen "Sie besitzen einen prviaten Schlüssel für das Zertifikat".
Am Wahrscheinlichsten ist aber natürlich das mit der Zertifikatskette, nachdem das schon gemeldet wurde. Und ja, das ist wichtig. Und ja, es kann gut sein, dass du entweder ein neues Trusted Root-Zertifikat hinzufügen musst oder ein Zwischenzertifikat. Der Sinn eines gekauften Zertifikats ist es aber eigentlich, dass das Root-Zertifikat bei allen möglichen Clients schon von Haus aus (als vertrauenswürdig) vorhanden ist.
Sprich denjenigen an, von dem du das Zertifikat hast, er soll dir weiterhelfen.
Oder versuch mal: Speichere das Zertifikat von https://search.thawte.com/support/ssl-digital-certificates/index?page=co ... in eine Datei mit der Endung .cer und importiere es unter Zwischenzertifizierungsstellen (wieder im Computerkonto natürlich).

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 17:28 Uhr
ich hab es vom PEM in eine PFX convert. diese Datei habe ich auf dem Server mit dem IIS importiert und danach war es auch in der liste bei "get-ExchangeCert..)
dann habe ich die Dienste umgelegt.

Bei Outlook (Autodiscover) bekomme ich die meldung, dass die Zertifizierungsstelle nicht ermittelt werden konnte.
Wenn ich den Webmailer aufrufe sagt er auch, dass die Seite nicht Vertrauenswürdig ist.

Das was du auf der Thawte Seite gefunden hast, ist glaube ich schon ganz gut. zumindest habe ich es am Server eingepflegt und es passt genau zu dem Herrausgeben des Zertifikates, also: Thawte SSL CA

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.

Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.

Ich könnte wieder so kotzen ...

Danke dir trotzdem für deine Unterstützung (selbst am WE)


Edit: Zertifikats informationen:

Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden.
Ausgestellt für: *.firma.de
Ausgestellt von: Thawte SSL CA


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
14.08.2011 um 00:03 Uhr
Hallo,

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.
Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Die Clients müssen das Ausstellerzertifikat nicht direkt als vertrauenswürdiges Root-Zertifikat hinterlegt haben, sie müssen es nur auf ein solches zurückführen können. Das ist die Sache mit den Zertifikatsketten. Wenn dein Zert von "Thawte SSL CA" signiert ist, und dieses wiederum von "Thawte Premium Server CA" (oder einem anderen, dem der Client vertraut), dann ist alles in bester Ordnung. Deswegen schrieb ich auch, dass du es in den Zwischenzertifizierungsstellen hinzufügen solltest. Der Server liefert bei Anfragen nicht nur dein Zertifikat aus, sondern auch alle Zwischenzertifikate, die zum Erstellen der Zertifikatskette benötigt werden. Und der Client bildet dann eine transitive Vertrauenskette von dem bei ihm gespeicherten Root-Zertifikat bis zu deinem Zertifikat. Wenn du das Zertifikat von der Homepage mal betrachtest, wirst du feststellen, dass es von "thawte Primary Root CA" unterzeichnet ist. Und der vertraut Windows.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
16.08.2011 um 10:33 Uhr
Okay auf jedenfall läuft es jetzt.

ich habe das Cert wie du gesagt hattest auch in die zwischen zertifizierungsstellen beim server eingetragen und am montag gab es keine Probleme... komisch nur dass ich am Samstag diese Fehler bekam.

Naja Thema erledigt.

Wichtig waren folgende dinge (zumindest für meine auffassung):

1. eine PFX als zu importierendes Format.
2. import via IIS Manager
3. das Zertifikat in die zwischenzertifizierungstelle kopieren oder war es das CA ? keine ahnung...



Thema gelöst !

Danke noch mal !

uLmi
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Exchange Server
gelöst SBS 2008 (Exchange 2007 SP3) - externe URL ändern - neues Zertifikat (8)

Frage von Ezekiel666 zum Thema Exchange Server ...

Exchange Server
Exchange 2007 Datenbank restore ohne Exchange zu verändern - SBS2008

Frage von pitamerica zum Thema Exchange Server ...

DSL, VDSL
Fritzbox Exchange 2007 UM Gateway mit Freetz (2)

Frage von Herbrich19 zum Thema DSL, VDSL ...

Exchange Server
gelöst Zertifikatsfehler nach Migration von Exchange 2007 zu Exchange 2013 (2)

Frage von Tommy1983 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...