Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Exchange Server

Das STARTTLS-Zertifikat läuft in Kürze ab

Mitglied: anve

anve (Level 1) - Jetzt verbinden

18.07.2012, aktualisiert 09:54 Uhr, 14589 Aufrufe, 8 Kommentare

Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: meineDomäne, verbleibende Stunden: BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969. Führen Sie das Cmdlet "New-ExchangeCertificate" aus, um eine neues Zertifikat zu erstellen.

Hi,

wie es aussieht muss ich das Zertifikat erneuen. Folgende Zertifikate sind installiert:

01.
Get-ExchangeCertificate| fl Name, Thum*, Services, Not*
Thumbprint : FD5FC82528FE866955D533C9C27744336C351998
Services : None
NotAfter : 26.05.2013 04:41:19
NotBefore : 26.05.2012 04:41:19
Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
Thumbprint : BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969
Services : IMAP, POP, IIS, SMTP
NotAfter : 17.08.2012 15:37:50
NotBefore : 18.08.2010 15:37:50
Thumbprint : 680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24
Services : SMTP
NotAfter : 29.12.2010 22:50:04
NotBefore : 29.12.2008 22:50:04
Thumbprint : D33A25F75616AC8DA65CC1CA6CA8B56C304D8099
Services : None
NotAfter : 29.12.2013 22:59:25
NotBefore : 29.12.2008 22:49:27
Thumbprint : 6EF7CFFD050DCE1EEB3C324F878AB8C0762DBCB3
Services : None
NotAfter : 27.12.2018 22:11:00
NotBefore : 29.12.2008 22:11:00

Ich bin bei der Suche auf diesen Artikel gestoßen. Wenn ich

01.
get-exchangecertificate | list
auführe, bekomme ich die Details zu den oben genannten Zertifakten. Das betroffenen Zertifikat (BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969) läuft am 17.8.2012 erst ab. Dieses muss erneuert werden. Ich kann mir aber nicht ganz vorstellen dass ein

01.
New-ExchangeCertificate
das Problem einfach löst (Doku New-ExchangeCertificate). Werden hierbei alle Zertifikate erneuert? Warum sind hier überhaupt so viele Zertifikate zu finden?

680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24 hat den Status DateInvalid - kann ich das dann löschen? Wie?

Dann gibt es Zertifikate denen keine Services zugeordnet sind. Brauche ich die überhaupt noch? Kann ich die auch löschen?

Dann habe ich das Zertifikat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D welches sich mit den Services mit BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 überschneidet. Ist das hier doppelt gemoppelt?

Im Endeffekt will ich nur das betroffene Zertifikat erneuern und sicherstellen, dass alles weiterfunktioniert wie bisher. Sollte ich dazu den Befehl

01.
Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate
verwenden?

Vielen Dank für eure Hilfe!

Grüße
anve
Mitglied: SlainteMhath
18.07.2012, aktualisiert um 15:18 Uhr
Moin,

zum erneuern des Certs geht man wie folgt vor:

1. Neus Zerfifikat erstellen, Abfrage mit Y/J beantworten:
New-ExchangeCertificate

2. Zertifikate anzeigen:
Get-ExchangeCertificate | fl

3. Den Thumbprint des eben erstellen Zerfikates (auf datum+Uhrzeit achten!) in die Zwischenablage kopieren

4. Zertifikat aktivieren:
Enable-ExchangeCertificate -Thumbprint * -Services IIS,POP,IMAP,SMTP
( * den Thumbprint aus der Zwischenablage einfügen)

5. Nach Aktivierung des Certs den MS Exchange Transport Service durchstarten.

lg,
Slainte
Bitte warten ..
Mitglied: anve
23.07.2012, aktualisiert um 09:33 Uhr
Wenn ich den Befehl "New-ExchangeCertificate" eingebe, bekomme ich folgende Meldung:

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domainname.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'4E1C89B67081422F6A9C1FB9C1745AC351D8C74D' (läuft ab am 24.08.2012 08:55:23)
mit Zertifikat 'F141AFD2548B75613F927C7DA3526185FCE1FCE6' (läuft ab am
23.07.2017 09:26:32) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Soll ich es überschreiben? Kann ich das alte Zertifikat irgendwie sichern?

Edit: So bin auf "Nein, keine" gegangen und er hat mir ein neues Zertifikat erstellt. Soll ich dieses löschen?
Bitte warten ..
Mitglied: SlainteMhath
26.07.2012 um 09:06 Uhr
Ja, du kannst das überschreiben. Das Zert. muss lediglich gültig sein und dem im Connector eingetragenen Domainnamen entsprechen. Geht einfach so vor, wie von mir oben beschrieben.
Bitte warten ..
Mitglied: anve
27.07.2012, aktualisiert um 09:32 Uhr
Das alte Zertifikat kann ich aber immer noch in der Übersicht finden. Ist das so OK?

Das betroffene Zertifikat hatte IIS und SMTP als Service eingetragen. Das Zertifikat was ich eigentlich erneuern wollte ist aber noch da. Einfach nochmals deine Befehle ausführen?
Bitte warten ..
Mitglied: SlainteMhath
27.07.2012 um 09:33 Uhr
Es werden immer alle Certs angezeigt die der Exchange "kennt" mit Enable-ExchangeCertificate legst Du das aktive fest.
Bitte warten ..
Mitglied: anve
27.07.2012 um 09:38 Uhr
Woran erkenne ich welches aktiv ist? Kann ich nochmals "New-ExchangeCertificate" (also deine Anleitung) ausführen um das Zertifikat welches am 24.8.2012 abläuft zu erneuern? Bei diesem hatte ich immer die Fehlermeldung bekommen ...
Bitte warten ..
Mitglied: SlainteMhath
27.07.2012 um 09:59 Uhr
Es gibt nicht "das aktive" Cert. Es gibt nur Certs mit Status "valid". Wenn dann die Cert.Domain zur Domain des Connectors/Services passt wird es genommen.

Am besten zu sehen mit
01.
Get-ExchangeCertificate |fl status, thumb*, servi*, not*, certificated*
Bitte warten ..
Mitglied: anve
27.07.2012, aktualisiert 30.07.2012
Das mit valid habe ich mir schon gedacht. Das interessante dabei ist nur, dass das zu ersetzende Zertifikat immer noch da ist und nun beide valid sind (aktiv). Das Zertifikat welches ersetzt werden sollte:

Status : Valid
Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
CertificateDomains : {Sites, pcname.domain.local}

Das neue Zertifikat (Ersatz):

Status : Valid
Thumbprint : 112C10E63F1E1F91AB810DCDA4066E503DCA7A2B
Services : IIS, SMTP
NotAfter : 27.07.2017 09:17:15
NotBefore : 27.07.2012 09:17:15
CertificateDomains : {PCName, pcname.domain.local}

Das Zertifkat BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 sollte auch erneuert werden (läuft auch bald ab). Ich warte mal ab ob das mit dem Zertifkat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D geklappt hat. Sollte ja alles passen oder?

Update

So ich wollte jetzt einfach "New-ExchangeCertificate" ausführen und da will er mein zuvor erstelltes Zertifikat was noch lange gültig ist überschreiben!


[PS] C:\Windows\System32>New-ExchangeCertificate
WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'112C10E63F1E1F91AB810DCDA4066E503DCA7A2B' (läuft ab am 27.07.2017 09:17:15)
mit Zertifikat '5D3E44FA83DFB274966D08DC9CF5AEBECBC99DA5' (läuft ab am
30.07.2017 11:32:11) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Ich brauche aber ein neues Zertifikat für 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D. Ich werde trotzdem eines erstellen (Nein, keine) und die Services zuweisen ...

Habe das Zertifikat wieder gelöscht und eine neues erstellt.

New-ExchangeCertificate -DomainName mail.domain.de -Subject "CN=mail.domain.at,OU=Technik,O=Name,L=Köln,C=DE" -Services IMAP,POP,SMTP

Dabei habe ich folgende Warnung bekommen

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Ich ignoriere das einmal. Wenn ich mir jetzt die Zertifikate ansehe, dann ist das neue Zertifkat fast ident mit dem alten. Aber es gibt folgende Unterschiede:

  • self-signed ist true (beim neuen)
  • issuer steht das was ich bei Subject eingetragen habe (beim alten steht CN=domain-servername-CA)

Sind die Unterschiede relevant?

So habe jetzt den "Microsoft Exchange-Transport" Dienst neu gestartet. Jedoch sehe ich immer noch die alten Zertifikte drinnen, wenn ich Outlook Web Access öffne ... Was mache ich falsch?
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Kurze Frage Outlook Anywhere Zertifikat Name
gelöst Frage von NugglerExchange Server2 Kommentare

Guten Morgen, ich habe eine ganz kurze Frage zu Outlook Anywhere und dem Sicherheitszertifikat. Ich habe in der Firma ...

Exchange Server
Nach Zertifikats wechsel und Server neustart läuft der Exchange nicht mehr
gelöst Frage von roeggiExchange Server4 Kommentare

Hallo Zusammen Ich habe ein grosses Problem. Ich habe das Zertifikat geändert.als der Server wegen Updatesinstallation neustartete funktionierte der ...

iOS
Kurze Frage zu den aktuellen iPhones und ob diese schon meckern wenn man eine Seite mit StartCom Zertifikaten aufruft
gelöst Frage von 131381iOS2 Kommentare

Moin Kollegen nur eine kurze Nachfrage da ich hier momentan kein iPhone zum Testen da habe. Wie sie es ...

Verschlüsselung & Zertifikate
Beißen sich SAN-Zertifikat und Wildcard-Zertifikat?
gelöst Frage von SlimButchVerschlüsselung & Zertifikate2 Kommentare

Hallo allerseits, ich habe eine Frage an euch bezüglich SSL Zertifikate, zu der ich bisher keine passende Antwort gefunden ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...