anve
Goto Top

Das STARTTLS-Zertifikat läuft in Kürze ab

Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: meineDomäne, verbleibende Stunden: BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969. Führen Sie das Cmdlet "New-ExchangeCertificate" aus, um eine neues Zertifikat zu erstellen.

Hi,

wie es aussieht muss ich das Zertifikat erneuen. Folgende Zertifikate sind installiert:

Get-ExchangeCertificate| fl Name, Thum*, Services, Not*
Thumbprint : FD5FC82528FE866955D533C9C27744336C351998
Services : None
NotAfter : 26.05.2013 04:41:19
NotBefore : 26.05.2012 04:41:19

Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23

Thumbprint : BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969
Services : IMAP, POP, IIS, SMTP
NotAfter : 17.08.2012 15:37:50
NotBefore : 18.08.2010 15:37:50

Thumbprint : 680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24
Services : SMTP
NotAfter : 29.12.2010 22:50:04
NotBefore : 29.12.2008 22:50:04

Thumbprint : D33A25F75616AC8DA65CC1CA6CA8B56C304D8099
Services : None
NotAfter : 29.12.2013 22:59:25
NotBefore : 29.12.2008 22:49:27

Thumbprint : 6EF7CFFD050DCE1EEB3C324F878AB8C0762DBCB3
Services : None
NotAfter : 27.12.2018 22:11:00
NotBefore : 29.12.2008 22:11:00

Ich bin bei der Suche auf diesen Artikel gestoßen. Wenn ich

get-exchangecertificate | list

auführe, bekomme ich die Details zu den oben genannten Zertifakten. Das betroffenen Zertifikat (BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969) läuft am 17.8.2012 erst ab. Dieses muss erneuert werden. Ich kann mir aber nicht ganz vorstellen dass ein

New-ExchangeCertificate

das Problem einfach löst (Doku New-ExchangeCertificate). Werden hierbei alle Zertifikate erneuert? Warum sind hier überhaupt so viele Zertifikate zu finden?

680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24 hat den Status DateInvalid - kann ich das dann löschen? Wie?

Dann gibt es Zertifikate denen keine Services zugeordnet sind. Brauche ich die überhaupt noch? Kann ich die auch löschen?

Dann habe ich das Zertifikat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D welches sich mit den Services mit BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 überschneidet. Ist das hier doppelt gemoppelt?

Im Endeffekt will ich nur das betroffene Zertifikat erneuern und sicherstellen, dass alles weiterfunktioniert wie bisher. Sollte ich dazu den Befehl

Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate

verwenden?

Vielen Dank für eure Hilfe!

Grüße
anve

Content-ID: 188207

Url: https://administrator.de/forum/das-starttls-zertifikat-laeuft-in-kuerze-ab-188207.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

SlainteMhath
SlainteMhath 18.07.2012 aktualisiert um 15:18:52 Uhr
Goto Top
Moin,

zum erneuern des Certs geht man wie folgt vor:

1. Neus Zerfifikat erstellen, Abfrage mit Y/J beantworten:
New-ExchangeCertificate

2. Zertifikate anzeigen:
Get-ExchangeCertificate | fl

3. Den Thumbprint des eben erstellen Zerfikates (auf datum+Uhrzeit achten!) in die Zwischenablage kopieren

4. Zertifikat aktivieren:
Enable-ExchangeCertificate -Thumbprint * -Services IIS,POP,IMAP,SMTP
( * den Thumbprint aus der Zwischenablage einfügen)

5. Nach Aktivierung des Certs den MS Exchange Transport Service durchstarten.

lg,
Slainte
anve
anve 23.07.2012 aktualisiert um 09:33:51 Uhr
Goto Top
Wenn ich den Befehl "New-ExchangeCertificate" eingebe, bekomme ich folgende Meldung:

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domainname.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'4E1C89B67081422F6A9C1FB9C1745AC351D8C74D' (läuft ab am 24.08.2012 08:55:23)
mit Zertifikat 'F141AFD2548B75613F927C7DA3526185FCE1FCE6' (läuft ab am
23.07.2017 09:26:32) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Soll ich es überschreiben? Kann ich das alte Zertifikat irgendwie sichern?

Edit: So bin auf "Nein, keine" gegangen und er hat mir ein neues Zertifikat erstellt. Soll ich dieses löschen?
SlainteMhath
SlainteMhath 26.07.2012 um 09:06:13 Uhr
Goto Top
Ja, du kannst das überschreiben. Das Zert. muss lediglich gültig sein und dem im Connector eingetragenen Domainnamen entsprechen. Geht einfach so vor, wie von mir oben beschrieben.
anve
anve 27.07.2012 aktualisiert um 09:32:39 Uhr
Goto Top
Das alte Zertifikat kann ich aber immer noch in der Übersicht finden. Ist das so OK?

Das betroffene Zertifikat hatte IIS und SMTP als Service eingetragen. Das Zertifikat was ich eigentlich erneuern wollte ist aber noch da. Einfach nochmals deine Befehle ausführen?
SlainteMhath
SlainteMhath 27.07.2012 um 09:33:53 Uhr
Goto Top
Es werden immer alle Certs angezeigt die der Exchange "kennt" mit Enable-ExchangeCertificate legst Du das aktive fest.
anve
anve 27.07.2012 um 09:38:09 Uhr
Goto Top
Woran erkenne ich welches aktiv ist? Kann ich nochmals "New-ExchangeCertificate" (also deine Anleitung) ausführen um das Zertifikat welches am 24.8.2012 abläuft zu erneuern? Bei diesem hatte ich immer die Fehlermeldung bekommen ...
SlainteMhath
SlainteMhath 27.07.2012 um 09:59:12 Uhr
Goto Top
Es gibt nicht "das aktive" Cert. Es gibt nur Certs mit Status "valid". Wenn dann die Cert.Domain zur Domain des Connectors/Services passt wird es genommen.

Am besten zu sehen mit
Get-ExchangeCertificate |fl status, thumb*, servi*, not*, certificated*
anve
anve 27.07.2012, aktualisiert am 30.07.2012 um 13:22:45 Uhr
Goto Top
Das mit valid habe ich mir schon gedacht. Das interessante dabei ist nur, dass das zu ersetzende Zertifikat immer noch da ist und nun beide valid sind (aktiv). Das Zertifikat welches ersetzt werden sollte:

Status : Valid
Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
CertificateDomains : {Sites, pcname.domain.local}

Das neue Zertifikat (Ersatz):

Status : Valid
Thumbprint : 112C10E63F1E1F91AB810DCDA4066E503DCA7A2B
Services : IIS, SMTP
NotAfter : 27.07.2017 09:17:15
NotBefore : 27.07.2012 09:17:15
CertificateDomains : {PCName, pcname.domain.local}

Das Zertifkat BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 sollte auch erneuert werden (läuft auch bald ab). Ich warte mal ab ob das mit dem Zertifkat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D geklappt hat. Sollte ja alles passen oder?

Update

So ich wollte jetzt einfach "New-ExchangeCertificate" ausführen und da will er mein zuvor erstelltes Zertifikat was noch lange gültig ist überschreiben!


[PS] C:\Windows\System32>New-ExchangeCertificate
WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'112C10E63F1E1F91AB810DCDA4066E503DCA7A2B' (läuft ab am 27.07.2017 09:17:15)
mit Zertifikat '5D3E44FA83DFB274966D08DC9CF5AEBECBC99DA5' (läuft ab am
30.07.2017 11:32:11) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Ich brauche aber ein neues Zertifikat für 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D. Ich werde trotzdem eines erstellen (Nein, keine) und die Services zuweisen ...

Habe das Zertifikat wieder gelöscht und eine neues erstellt.

New-ExchangeCertificate -DomainName mail.domain.de -Subject "CN=mail.domain.at,OU=Technik,O=Name,L=Köln,C=DE" -Services IMAP,POP,SMTP

Dabei habe ich folgende Warnung bekommen

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Ich ignoriere das einmal. Wenn ich mir jetzt die Zertifikate ansehe, dann ist das neue Zertifkat fast ident mit dem alten. Aber es gibt folgende Unterschiede:

  • self-signed ist true (beim neuen)
  • issuer steht das was ich bei Subject eingetragen habe (beim alten steht CN=domain-servername-CA)

Sind die Unterschiede relevant?

So habe jetzt den "Microsoft Exchange-Transport" Dienst neu gestartet. Jedoch sehe ich immer noch die alten Zertifikte drinnen, wenn ich Outlook Web Access öffne ... Was mache ich falsch?