9
Abgelaufenes Exchange-2016 Zertifikat lässt sich nicht löschen
Hallo Zusammen,
habe vor kurzen ein ein Zerti, was ich gekauft habe, auf meinem Exchange (EX) installiert und den Diensten zugewiesen. Das läuft auch Prima...
Nun dachte ich mir löscht du das alte mal raus. Aber Pustekuchen, dann kommt das:
Wenn ich nun mir die zugewiesenen Dienste für das neue Zerti ansehe, dann sieht das so aus, also inkl. SMTP:
Beim alten:
Da ich bei der Zerti-Anforderung einfach auf erneuern geklickt habe, hat das neue Zerti den gleichen Namen wie das alte. Vielleicht liegt es daran. Via MMC könnte ich zwar den Namen des alten oder neuen Ändern und auch direkt aus de Speicher löschen, aber irgendwie traue ich mich das nicht so richtig!
Wie gehe ich an die Sache am besten ran ohne mir etwas zu zerschießen?
Danke
habe vor kurzen ein ein Zerti, was ich gekauft habe, auf meinem Exchange (EX) installiert und den Diensten zugewiesen. Das läuft auch Prima...
Nun dachte ich mir löscht du das alte mal raus. Aber Pustekuchen, dann kommt das:
Wenn ich nun mir die zugewiesenen Dienste für das neue Zerti ansehe, dann sieht das so aus, also inkl. SMTP:
Beim alten:
Da ich bei der Zerti-Anforderung einfach auf erneuern geklickt habe, hat das neue Zerti den gleichen Namen wie das alte. Vielleicht liegt es daran. Via MMC könnte ich zwar den Namen des alten oder neuen Ändern und auch direkt aus de Speicher löschen, aber irgendwie traue ich mich das nicht so richtig!
Wie gehe ich an die Sache am besten ran ohne mir etwas zu zerschießen?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666300
Url: https://administrator.de/contentid/666300
Printed on: April 16, 2024 at 23:04 o'clock
9 Comments
Latest comment
also mal so im allgemeinen, die Zertifikate werden unterschiedliche Hashes haben... das steht "alle Zwecke", sprich auch Ver/Entschlüsselung. Was z.B. bei verschlüsselten Emails oder Dokumenten gerne mal übersehen wird, ist daß man das alte Zertifikat für die Dokumente braucht, die mit dem private key des alten Zertifikates verschlüsselt wurden.
Auf meiner beruflichen Smartcard liegen z.B. 6 Zertifikate, und die reichen bis 2008 zurück, fünf davon sind abgelaufen. wir müssen z.B. Mails verschlüsseln (und aus Compliandegründen auch 10 Jahre rückwirkend) entschlüsseln können. Würde ich die löschen, nun ja, tü tü zwei plus zwei ist noch mal wieviel?
Löscht man das alte Zertifikat, dann sind diese Dateien nicht mehr entschlüsselbar, sei denn man hat genug Compute-Ressourcen für eine brute force Attacke oder man findet einen "white hacker" der das Ding vielleicht anhand "schwacher elliptischer Kurven" oder andere von Geheimdiensten oder Programmierertiefflieger implementierten Schwachstellen schneller entschlüsseln kann bzw die brute Force Attacke schlanker gestalten kann. Beim GSM Mobilfunk war seinerzeit ja auch so eine Schwachstelle drin, wer die "Rainbow Table" mit 1,5 Gigabyte hatte und genug Arbeitsspeicher, der hatte damit nur ein Promille Aufwand einer vollen Attacke...
Wenn es nur um SSL geht, braucht man das halt nicht, aber du schreibst da nur "ex" was bei mir entweder "explosiv" heißt oder "Ex-Frau". Und Mails von der Ex-Frau will ich nicht lesen, was ich lesen muß kommt von einem Anwalt
Um was für ein System gehts denn da? IMAP und SMTP lassen ja auf einen Mailserver schließen oder Mailclient.
Auf meiner beruflichen Smartcard liegen z.B. 6 Zertifikate, und die reichen bis 2008 zurück, fünf davon sind abgelaufen. wir müssen z.B. Mails verschlüsseln (und aus Compliandegründen auch 10 Jahre rückwirkend) entschlüsseln können. Würde ich die löschen, nun ja, tü tü zwei plus zwei ist noch mal wieviel?
Löscht man das alte Zertifikat, dann sind diese Dateien nicht mehr entschlüsselbar, sei denn man hat genug Compute-Ressourcen für eine brute force Attacke oder man findet einen "white hacker" der das Ding vielleicht anhand "schwacher elliptischer Kurven" oder andere von Geheimdiensten oder Programmierertiefflieger implementierten Schwachstellen schneller entschlüsseln kann bzw die brute Force Attacke schlanker gestalten kann. Beim GSM Mobilfunk war seinerzeit ja auch so eine Schwachstelle drin, wer die "Rainbow Table" mit 1,5 Gigabyte hatte und genug Arbeitsspeicher, der hatte damit nur ein Promille Aufwand einer vollen Attacke...
Wenn es nur um SSL geht, braucht man das halt nicht, aber du schreibst da nur "ex" was bei mir entweder "explosiv" heißt oder "Ex-Frau". Und Mails von der Ex-Frau will ich nicht lesen, was ich lesen muß kommt von einem Anwalt
Um was für ein System gehts denn da? IMAP und SMTP lassen ja auf einen Mailserver schließen oder Mailclient.
Hi,
was sagt denn Remove-ExchangeCertificate -Thumbprint ?
Mit freundlichen Grüßen
was sagt denn Remove-ExchangeCertificate -Thumbprint ?
Mit freundlichen Grüßen
Zu Remove-ExchangeCertificate -Thumbprint brauche ich mal etwas Hilfe zu Syntax... Was genau muss ich da eingeben? Sorry
Hallo,
leider habe ich keine Lösung aber das selbe Problem.
Scheint hier dazu aber nicht allzuviel Erfahrungen. Naja, der Server läuft....
Viele Grüße
Ralf
leider habe ich keine Lösung aber das selbe Problem.
Scheint hier dazu aber nicht allzuviel Erfahrungen. Naja, der Server läuft....
Viele Grüße
Ralf
Hallo Ralf,
ich bin jetzt so weit dass ich den richtigen Befehl gefunden habe. Der Befehl heisst:
Remove-ExchangeCertificate -Thumbprint ?d2e161e91713c9e995bed297facxxxxxxxxxxxxxxxxxxxxxxxxx Fingeprint des Zerti findest du in dem Zerti
Bei Fragt er auch willste löschen? Habe aber jetzt erstmal abgebrochen, wollte mir vorher ein Snapshoot ziehen, falls was in die Hose geht, also erst am Sonntag! Dann sehe ich, was passiert oder ob es überhaupt geht!
ich bin jetzt so weit dass ich den richtigen Befehl gefunden habe. Der Befehl heisst:
Remove-ExchangeCertificate -Thumbprint ?d2e161e91713c9e995bed297facxxxxxxxxxxxxxxxxxxxxxxxxx Fingeprint des Zerti findest du in dem Zerti
Bei Fragt er auch willste löschen? Habe aber jetzt erstmal abgebrochen, wollte mir vorher ein Snapshoot ziehen, falls was in die Hose geht, also erst am Sonntag! Dann sehe ich, was passiert oder ob es überhaupt geht!
Hier gibt es auch noch gute Infos zum Thema:
Remove Exchange Certificate
Ich denke das Problem ist, das die Services noch daruf sind.
Viel Erfolg am Sonntag!
Remove Exchange Certificate
Ich denke das Problem ist, das die Services noch daruf sind.
Viel Erfolg am Sonntag!
Hi Ralf,
also hier wie versprochen, mein Ergebnis. Bei mir geht es nicht...
Habe folgendes ausgeführt:
Zerti mit Fingerprint identifiziert
Zerti vom Service getrennt g
Das Ergebnis ist:
Was ich nicht ganz verstehe ist, dass SMTP doch garnicht daran gekoppelt ist, sondern die grauen Haken sind bei POP und IMAP
Merkwürdig....
also hier wie versprochen, mein Ergebnis. Bei mir geht es nicht...
Habe folgendes ausgeführt:
Get-ExchangeCertificate | select Thumbprint, Services, NotAfter, Subject, CertificateDomains | flZerti mit Fingerprint identifiziert
Enable-ExchangeCertificate -Services None -Thumbprint Fingerprint-NrRemove-ExchangeCertificate -Thumbprint Fingerprint-NrDas Ergebnis ist:
Ein spezieller RPC-Fehler ist auf Server EXCHANGE aufgetreten: Das interne Transportzertifikat kann nicht entfernt werden, weil dies das Beenden des Microsoft
Exchange-Transportdiensts bewirken würde. Erstellen Sie ein neues Zertifikat, um das interne Transportzertifikat zu ersetzen. Das neue Zertifikat wird automatisch als internes
Transportzertifikat eingesetzt. Anschließend können Sie das vorhandene Zertifikat entfernen.Was ich nicht ganz verstehe ist, dass SMTP doch garnicht daran gekoppelt ist, sondern die grauen Haken sind bei POP und IMAP
Merkwürdig....
