Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Das STARTTLS-Zertifikat läuft in Kürze ab

Frage Microsoft Exchange Server

Mitglied: anve

anve (Level 1) - Jetzt verbinden

18.07.2012, aktualisiert 09:54 Uhr, 13137 Aufrufe, 8 Kommentare

Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: meineDomäne, verbleibende Stunden: BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969. Führen Sie das Cmdlet "New-ExchangeCertificate" aus, um eine neues Zertifikat zu erstellen.

Hi,

wie es aussieht muss ich das Zertifikat erneuen. Folgende Zertifikate sind installiert:

01.
Get-ExchangeCertificate| fl Name, Thum*, Services, Not*
Thumbprint : FD5FC82528FE866955D533C9C27744336C351998
Services : None
NotAfter : 26.05.2013 04:41:19
NotBefore : 26.05.2012 04:41:19
Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
Thumbprint : BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969
Services : IMAP, POP, IIS, SMTP
NotAfter : 17.08.2012 15:37:50
NotBefore : 18.08.2010 15:37:50
Thumbprint : 680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24
Services : SMTP
NotAfter : 29.12.2010 22:50:04
NotBefore : 29.12.2008 22:50:04
Thumbprint : D33A25F75616AC8DA65CC1CA6CA8B56C304D8099
Services : None
NotAfter : 29.12.2013 22:59:25
NotBefore : 29.12.2008 22:49:27
Thumbprint : 6EF7CFFD050DCE1EEB3C324F878AB8C0762DBCB3
Services : None
NotAfter : 27.12.2018 22:11:00
NotBefore : 29.12.2008 22:11:00

Ich bin bei der Suche auf diesen Artikel gestoßen. Wenn ich

01.
get-exchangecertificate | list
auführe, bekomme ich die Details zu den oben genannten Zertifakten. Das betroffenen Zertifikat (BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969) läuft am 17.8.2012 erst ab. Dieses muss erneuert werden. Ich kann mir aber nicht ganz vorstellen dass ein

01.
New-ExchangeCertificate
das Problem einfach löst (Doku New-ExchangeCertificate). Werden hierbei alle Zertifikate erneuert? Warum sind hier überhaupt so viele Zertifikate zu finden?

680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24 hat den Status DateInvalid - kann ich das dann löschen? Wie?

Dann gibt es Zertifikate denen keine Services zugeordnet sind. Brauche ich die überhaupt noch? Kann ich die auch löschen?

Dann habe ich das Zertifikat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D welches sich mit den Services mit BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 überschneidet. Ist das hier doppelt gemoppelt?

Im Endeffekt will ich nur das betroffene Zertifikat erneuern und sicherstellen, dass alles weiterfunktioniert wie bisher. Sollte ich dazu den Befehl

01.
Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate
verwenden?

Vielen Dank für eure Hilfe!

Grüße
anve
Mitglied: SlainteMhath
18.07.2012, aktualisiert um 15:18 Uhr
Moin,

zum erneuern des Certs geht man wie folgt vor:

1. Neus Zerfifikat erstellen, Abfrage mit Y/J beantworten:
New-ExchangeCertificate

2. Zertifikate anzeigen:
Get-ExchangeCertificate | fl

3. Den Thumbprint des eben erstellen Zerfikates (auf datum+Uhrzeit achten!) in die Zwischenablage kopieren

4. Zertifikat aktivieren:
Enable-ExchangeCertificate -Thumbprint * -Services IIS,POP,IMAP,SMTP
( * den Thumbprint aus der Zwischenablage einfügen)

5. Nach Aktivierung des Certs den MS Exchange Transport Service durchstarten.

lg,
Slainte
Bitte warten ..
Mitglied: anve
23.07.2012, aktualisiert um 09:33 Uhr
Wenn ich den Befehl "New-ExchangeCertificate" eingebe, bekomme ich folgende Meldung:

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domainname.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'4E1C89B67081422F6A9C1FB9C1745AC351D8C74D' (läuft ab am 24.08.2012 08:55:23)
mit Zertifikat 'F141AFD2548B75613F927C7DA3526185FCE1FCE6' (läuft ab am
23.07.2017 09:26:32) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Soll ich es überschreiben? Kann ich das alte Zertifikat irgendwie sichern?

Edit: So bin auf "Nein, keine" gegangen und er hat mir ein neues Zertifikat erstellt. Soll ich dieses löschen?
Bitte warten ..
Mitglied: SlainteMhath
26.07.2012 um 09:06 Uhr
Ja, du kannst das überschreiben. Das Zert. muss lediglich gültig sein und dem im Connector eingetragenen Domainnamen entsprechen. Geht einfach so vor, wie von mir oben beschrieben.
Bitte warten ..
Mitglied: anve
27.07.2012, aktualisiert um 09:32 Uhr
Das alte Zertifikat kann ich aber immer noch in der Übersicht finden. Ist das so OK?

Das betroffene Zertifikat hatte IIS und SMTP als Service eingetragen. Das Zertifikat was ich eigentlich erneuern wollte ist aber noch da. Einfach nochmals deine Befehle ausführen?
Bitte warten ..
Mitglied: SlainteMhath
27.07.2012 um 09:33 Uhr
Es werden immer alle Certs angezeigt die der Exchange "kennt" mit Enable-ExchangeCertificate legst Du das aktive fest.
Bitte warten ..
Mitglied: anve
27.07.2012 um 09:38 Uhr
Woran erkenne ich welches aktiv ist? Kann ich nochmals "New-ExchangeCertificate" (also deine Anleitung) ausführen um das Zertifikat welches am 24.8.2012 abläuft zu erneuern? Bei diesem hatte ich immer die Fehlermeldung bekommen ...
Bitte warten ..
Mitglied: SlainteMhath
27.07.2012 um 09:59 Uhr
Es gibt nicht "das aktive" Cert. Es gibt nur Certs mit Status "valid". Wenn dann die Cert.Domain zur Domain des Connectors/Services passt wird es genommen.

Am besten zu sehen mit
01.
Get-ExchangeCertificate |fl status, thumb*, servi*, not*, certificated*
Bitte warten ..
Mitglied: anve
27.07.2012, aktualisiert 30.07.2012
Das mit valid habe ich mir schon gedacht. Das interessante dabei ist nur, dass das zu ersetzende Zertifikat immer noch da ist und nun beide valid sind (aktiv). Das Zertifikat welches ersetzt werden sollte:

Status : Valid
Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
CertificateDomains : {Sites, pcname.domain.local}

Das neue Zertifikat (Ersatz):

Status : Valid
Thumbprint : 112C10E63F1E1F91AB810DCDA4066E503DCA7A2B
Services : IIS, SMTP
NotAfter : 27.07.2017 09:17:15
NotBefore : 27.07.2012 09:17:15
CertificateDomains : {PCName, pcname.domain.local}

Das Zertifkat BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 sollte auch erneuert werden (läuft auch bald ab). Ich warte mal ab ob das mit dem Zertifkat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D geklappt hat. Sollte ja alles passen oder?

Update

So ich wollte jetzt einfach "New-ExchangeCertificate" ausführen und da will er mein zuvor erstelltes Zertifikat was noch lange gültig ist überschreiben!


[PS] C:\Windows\System32>New-ExchangeCertificate
WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'112C10E63F1E1F91AB810DCDA4066E503DCA7A2B' (läuft ab am 27.07.2017 09:17:15)
mit Zertifikat '5D3E44FA83DFB274966D08DC9CF5AEBECBC99DA5' (läuft ab am
30.07.2017 11:32:11) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Ich brauche aber ein neues Zertifikat für 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D. Ich werde trotzdem eines erstellen (Nein, keine) und die Services zuweisen ...

Habe das Zertifikat wieder gelöscht und eine neues erstellt.

New-ExchangeCertificate -DomainName mail.domain.de -Subject "CN=mail.domain.at,OU=Technik,O=Name,L=Köln,C=DE" -Services IMAP,POP,SMTP

Dabei habe ich folgende Warnung bekommen

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Ich ignoriere das einmal. Wenn ich mir jetzt die Zertifikate ansehe, dann ist das neue Zertifkat fast ident mit dem alten. Aber es gibt folgende Unterschiede:

  • self-signed ist true (beim neuen)
  • issuer steht das was ich bei Subject eingetragen habe (beim alten steht CN=domain-servername-CA)

Sind die Unterschiede relevant?

So habe jetzt den "Microsoft Exchange-Transport" Dienst neu gestartet. Jedoch sehe ich immer noch die alten Zertifikte drinnen, wenn ich Outlook Web Access öffne ... Was mache ich falsch?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Outlook Anywhere ohne gekauftes Zertifikat (6)

Frage von DKowalke zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Voice over IP
Mysterium Fax über VoIP - was man tun kann, damit es besser läuft (7)

Anleitung von LordGurke zum Thema Voice over IP ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...