zeroblue2005
Goto Top

Abgelaufenes Exchange-2016 Zertifikat lässt sich nicht löschen

Hallo Zusammen,

habe vor kurzen ein ein Zerti, was ich gekauft habe, auf meinem Exchange (EX) installiert und den Diensten zugewiesen. Das läuft auch Prima...

Nun dachte ich mir löscht du das alte mal raus. Aber Pustekuchen, dann kommt das:

2021-05-02_081205

Wenn ich nun mir die zugewiesenen Dienste für das neue Zerti ansehe, dann sieht das so aus, also inkl. SMTP:

2021-05-02_081353

2021-05-02_081547

Beim alten:

2021-05-02_081458

Da ich bei der Zerti-Anforderung einfach auf erneuern geklickt habe, hat das neue Zerti den gleichen Namen wie das alte. Vielleicht liegt es daran. Via MMC könnte ich zwar den Namen des alten oder neuen Ändern und auch direkt aus de Speicher löschen, aber irgendwie traue ich mich das nicht so richtig!

2021-05-02_081702

Wie gehe ich an die Sache am besten ran ohne mir etwas zu zerschießen?

Danke face-smile

Content-ID: 666300

Url: https://administrator.de/forum/abgelaufenes-exchange-2016-zertifikat-laesst-sich-nicht-loeschen-666300.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 02.05.2021 aktualisiert um 20:57:05 Uhr
Goto Top
also mal so im allgemeinen, die Zertifikate werden unterschiedliche Hashes haben... das steht "alle Zwecke", sprich auch Ver/Entschlüsselung. Was z.B. bei verschlüsselten Emails oder Dokumenten gerne mal übersehen wird, ist daß man das alte Zertifikat für die Dokumente braucht, die mit dem private key des alten Zertifikates verschlüsselt wurden.

Auf meiner beruflichen Smartcard liegen z.B. 6 Zertifikate, und die reichen bis 2008 zurück, fünf davon sind abgelaufen. wir müssen z.B. Mails verschlüsseln (und aus Compliandegründen auch 10 Jahre rückwirkend) entschlüsseln können. Würde ich die löschen, nun ja, tü tü zwei plus zwei ist noch mal wieviel?

Löscht man das alte Zertifikat, dann sind diese Dateien nicht mehr entschlüsselbar, sei denn man hat genug Compute-Ressourcen für eine brute force Attacke oder man findet einen "white hacker" der das Ding vielleicht anhand "schwacher elliptischer Kurven" oder andere von Geheimdiensten oder Programmierertiefflieger implementierten Schwachstellen schneller entschlüsseln kann bzw die brute Force Attacke schlanker gestalten kann. Beim GSM Mobilfunk war seinerzeit ja auch so eine Schwachstelle drin, wer die "Rainbow Table" mit 1,5 Gigabyte hatte und genug Arbeitsspeicher, der hatte damit nur ein Promille Aufwand einer vollen Attacke...

Wenn es nur um SSL geht, braucht man das halt nicht, aber du schreibst da nur "ex" was bei mir entweder "explosiv" heißt oder "Ex-Frau". Und Mails von der Ex-Frau will ich nicht lesen, was ich lesen muß kommt von einem Anwalt face-smile

Um was für ein System gehts denn da? IMAP und SMTP lassen ja auf einen Mailserver schließen oder Mailclient.
7Gizmo7
7Gizmo7 02.05.2021 um 21:32:25 Uhr
Goto Top
Hi,

was sagt denn Remove-ExchangeCertificate -Thumbprint ?

Mit freundlichen Grüßen
zeroblue2005
zeroblue2005 03.05.2021 um 15:00:33 Uhr
Goto Top
Zu Remove-ExchangeCertificate -Thumbprint brauche ich mal etwas Hilfe zu Syntax... Was genau muss ich da eingeben? Sorry
wecanIT
wecanIT 06.05.2021 um 12:46:15 Uhr
Goto Top
Hallo,

leider habe ich keine Lösung aber das selbe Problem.

Scheint hier dazu aber nicht allzuviel Erfahrungen. Naja, der Server läuft....

Viele Grüße

Ralf
wecanIT
wecanIT 06.05.2021 um 12:47:09 Uhr
Goto Top
zeroblue2005
zeroblue2005 06.05.2021 aktualisiert um 13:12:03 Uhr
Goto Top
Hallo Ralf,

ich bin jetzt so weit dass ich den richtigen Befehl gefunden habe. Der Befehl heisst:

Remove-ExchangeCertificate -Thumbprint ?d2e161e91713c9e995bed297facxxxxxxxxxxxxxxxxxxxxxxxxx Fingeprint des Zerti findest du in dem Zerti

Bei Fragt er auch willste löschen? Habe aber jetzt erstmal abgebrochen, wollte mir vorher ein Snapshoot ziehen, falls was in die Hose geht, also erst am Sonntag! Dann sehe ich, was passiert oder ob es überhaupt geht!
wecanIT
wecanIT 06.05.2021 um 14:17:24 Uhr
Goto Top
Hier gibt es auch noch gute Infos zum Thema:

Remove Exchange Certificate

Ich denke das Problem ist, das die Services noch daruf sind.

services


Viel Erfolg am Sonntag!
zeroblue2005
zeroblue2005 09.05.2021 um 08:31:25 Uhr
Goto Top
Hi Ralf,

also hier wie versprochen, mein Ergebnis. Bei mir geht es nicht...

Habe folgendes ausgeführt:

Get-ExchangeCertificate | select Thumbprint, Services, NotAfter, Subject, CertificateDomains | fl

Zerti mit Fingerprint identifiziert

Enable-ExchangeCertificate -Services None -Thumbprint Fingerprint-Nr
Zerti vom Service getrennt g

Remove-ExchangeCertificate -Thumbprint Fingerprint-Nr

Das Ergebnis ist:


Ein spezieller RPC-Fehler ist auf Server EXCHANGE aufgetreten: Das interne Transportzertifikat kann nicht entfernt werden, weil dies das Beenden des Microsoft
Exchange-Transportdiensts bewirken würde. Erstellen Sie ein neues Zertifikat, um das interne Transportzertifikat zu ersetzen. Das neue Zertifikat wird automatisch als internes
Transportzertifikat eingesetzt. Anschließend können Sie das vorhandene Zertifikat entfernen.

Was ich nicht ganz verstehe ist, dass SMTP doch garnicht daran gekoppelt ist, sondern die grauen Haken sind bei POP und IMAP

Merkwürdig....
Dani
Dani 10.05.2021 um 13:35:10 Uhr
Goto Top