Exchange 2007 Zertifikat erneuern

Mitglied: uLmi

uLmi (Level 2) - Jetzt verbinden

11.08.2011, aktualisiert 17:18 Uhr, 7825 Aufrufe, 11 Kommentare

Hallo Leute,

ich habe von meinem Unix Admin das neue Wildcard Zertifikat von Thawte bekommen und soll es jetzt in den Exchange einpflegen.

wir haben bereits ein Wildcard Zertikat von Thawte im Exchange und wenn ich das neue Importieren möchte bekomme ich die meldung, dass ein Zert mit dem selben Fingerabdruck schon vorhanden ist.

muss ich das alte erstmal via remove-exchangecertificate löschen damit ich das neue importieren kann ????

Gruß
uLmi

PS: macht nichts wenns schnell geht :) face-smile
Mitglied: KarlKommnichklar
11.08.2011 um 19:24 Uhr
Hallo Ulmi,
Dann mach das doch!
Wie? Das Ergebnis von http://www.google.de/search?q=remove-exchangecertificate ist

http://technet.microsoft.com/de-de/library/aa997569(EXCHG.80).aspx

Gruß,

Karl

p.s.

Hilf Dir selbst, dann hilft Dir Karl
Bitte warten ..
Mitglied: filippg
11.08.2011 um 21:00 Uhr
Hallo,

ich würde behaupten, der Admin hat dir das falsche Zertifikat gegeben. Wenn der Thumbprint gleich ist, ist auch das Zertifikat gleich, sprich: er hat dir das alte nochmal geschickt. Falls es doch das neue sein sollte, solltest du beide ausdrucken & einrahmen lassen: Das für zwei unterschiedliche Klartexte der gleiche kryptopgraphische Hash (das ist ein Thumbprint) erzeugt wird ist zwar keinesfalls unmöglich, aber so unwahrscheinlich, dass ein 6er im Lotto ein Scherz dagegen ist.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:05 Uhr
ja sowas mache ich aber nicht während der Arbeitszeit.
ich probier das morgen aus.
Bitte warten ..
Mitglied: uLmi
12.08.2011 um 22:18 Uhr
Hi,

die thumbprints sind unterschiedlich.
wenn ich das neue importieren will sagt er thumbprint schon vorhanden.
bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
muss ich die alte umbedingt vorher entfernen ? wegen dem gleichen domainnamen
aber er meckert ja wegen dem Thumbprint ...

Ich habe das ursprünglich PEM in eine CER mit Openssl konvertiert. Mit einer PKCS hab ich es auch schon probiert.
http://www.msxfaq.net/signcrypt/openssl.htm


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
12.08.2011 um 22:30 Uhr
Hallo,

bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
doch, so ist es üblich. Wenn es bei dir anders ist, ist was falsch...

die thumbprints sind unterschiedlich.
Bist du dir sicher, dass du das Zertifikat nicht schon in den Cert-Store hinterlegt hast (geg. auch in einen anderen Zweig, also etwa "Other Persons"? Wichtig ist, dass du im Store vom SYSTEM-Konto suchst: Run -> mmc -> Add Snapin -> Certificates und dort dann auswählen, dass der Store des Computerkontos geöffnet werden soll.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 00:50 Uhr
danke für den hinweis ich bin mir nicht genau sicher was du meinst aber ich schau mir das später an und beurteile dann ob es geholfen hat :) face-smile

danke und gruß
uLmi
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 15:14 Uhr
also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.

folgendes ergebniss kommt:

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
CERT_CHAIN_CONTEXT --------
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)

CertContext[0][0]: dwInfoStatus=4 dwErrorStatus=1000040
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=Firma GmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung

Exclude leaf cert:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Full chain:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Missing Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=FirmaGmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden. 0x800b010a (-2146762486
)
Thumbprint Services Subject
-------- -------
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX ..... CN=*.firma.de, OU=IT, O=Firma GmbH, L=Erkrath, S=Nordrh...



wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.

Ich glaube die meldung:
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.
ist wichtig aber was soll ich jetzt machen, die CA vom alten Certi ist ja drin brauche ich eine neue CA ?
die alte CA heißt: Thawte Premium Server CA
die neue CA heißt: Thawte SSL CA

kann es daran liegen das er die Kette nicht findet ?
wenn ich unter Vertrauenswürdige Stammzertifizierungsstellen gucke, sehe ich: Thawte Premium Server CA und Thawte Timestamping CA aber nichts was zu dem neuen Cert passen würde.

das liegt bestimmt daran oder ?

ich habe jetzt auf thawte die root CA runtergeladen aber die heißen auch alle "Thawte Premium Server CA und nicht Thawte SSL CA :( face-sad


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
13.08.2011 um 15:59 Uhr
Hallo,

also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.
Also war das _neue_ Zeritifkat bereits importiert? Somit wäre also wenigstens die Meldung mit dem "Schon Zertifikat mit gleichem Zertifikat vorhanden" erklärt. Richtig?

[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
Du hast es doch schon über die MMC importiert. Warum willst du es dann nochmal über PS importieren?

wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.
Das könnte drei Ursachen haben:
1. das Zertifikat liegt nicht unter eigene Zertifikate im CertStore von Computerkonto
2. du hast keinen privaten Schlüssel
3. Exchange traut dem Zertifikat nicht

1.+2. kannst du in der MMC überprüfen. Den Pfad, wo es abgelegt ist, siehst du ja direkt. Und wenn du auf das Zertifikat doppelklickst öffnet sich ja das Fenster mit den Zertifikatseigenschaften. Hier muss auf dem ersten Reiter unten stehen "Sie besitzen einen prviaten Schlüssel für das Zertifikat".
Am Wahrscheinlichsten ist aber natürlich das mit der Zertifikatskette, nachdem das schon gemeldet wurde. Und ja, das ist wichtig. Und ja, es kann gut sein, dass du entweder ein neues Trusted Root-Zertifikat hinzufügen musst oder ein Zwischenzertifikat. Der Sinn eines gekauften Zertifikats ist es aber eigentlich, dass das Root-Zertifikat bei allen möglichen Clients schon von Haus aus (als vertrauenswürdig) vorhanden ist.
Sprich denjenigen an, von dem du das Zertifikat hast, er soll dir weiterhelfen.
Oder versuch mal: Speichere das Zertifikat von https://search.thawte.com/support/ssl-digital-certificates/index?page=co ... in eine Datei mit der Endung .cer und importiere es unter Zwischenzertifizierungsstellen (wieder im Computerkonto natürlich).

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
13.08.2011 um 17:28 Uhr
ich hab es vom PEM in eine PFX convert. diese Datei habe ich auf dem Server mit dem IIS importiert und danach war es auch in der liste bei "get-ExchangeCert..)
dann habe ich die Dienste umgelegt.

Bei Outlook (Autodiscover) bekomme ich die meldung, dass die Zertifizierungsstelle nicht ermittelt werden konnte.
Wenn ich den Webmailer aufrufe sagt er auch, dass die Seite nicht Vertrauenswürdig ist.

Das was du auf der Thawte Seite gefunden hast, ist glaube ich schon ganz gut. zumindest habe ich es am Server eingepflegt und es passt genau zu dem Herrausgeben des Zertifikates, also: Thawte SSL CA

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.

Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.

Ich könnte wieder so kotzen ...

Danke dir trotzdem für deine Unterstützung (selbst am WE)


Edit: Zertifikats informationen:

Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden.
Ausgestellt für: *.firma.de
Ausgestellt von: Thawte SSL CA


Gruß
uLmi
Bitte warten ..
Mitglied: filippg
14.08.2011 um 00:03 Uhr
Hallo,

aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.
Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Die Clients müssen das Ausstellerzertifikat nicht direkt als vertrauenswürdiges Root-Zertifikat hinterlegt haben, sie müssen es nur auf ein solches zurückführen können. Das ist die Sache mit den Zertifikatsketten. Wenn dein Zert von "Thawte SSL CA" signiert ist, und dieses wiederum von "Thawte Premium Server CA" (oder einem anderen, dem der Client vertraut), dann ist alles in bester Ordnung. Deswegen schrieb ich auch, dass du es in den Zwischenzertifizierungsstellen hinzufügen solltest. Der Server liefert bei Anfragen nicht nur dein Zertifikat aus, sondern auch alle Zwischenzertifikate, die zum Erstellen der Zertifikatskette benötigt werden. Und der Client bildet dann eine transitive Vertrauenskette von dem bei ihm gespeicherten Root-Zertifikat bis zu deinem Zertifikat. Wenn du das Zertifikat von der Homepage mal betrachtest, wirst du feststellen, dass es von "thawte Primary Root CA" unterzeichnet ist. Und der vertraut Windows.

Gruß

Filipp
Bitte warten ..
Mitglied: uLmi
16.08.2011 um 10:33 Uhr
Okay auf jedenfall läuft es jetzt.

ich habe das Cert wie du gesagt hattest auch in die zwischen zertifizierungsstellen beim server eingetragen und am montag gab es keine Probleme... komisch nur dass ich am Samstag diese Fehler bekam.

Naja Thema erledigt.

Wichtig waren folgende dinge (zumindest für meine auffassung):

1. eine PFX als zu importierendes Format.
2. import via IIS Manager
3. das Zertifikat in die zwischenzertifizierungstelle kopieren oder war es das CA ? keine ahnung...



Thema gelöst !

Danke noch mal !

uLmi
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Probleme im Netzwerk Switche teilweise nicht erreichbar
hukimanVor 22 StundenFrageSwitche und Hubs29 Kommentare

Guten Morgen, seit Monaten haben wir hier immer wieder Probleme mit dem Netzwerk, das Problem konnte ich leider aber noch immer nicht finden. Es ...

Erkennung und -Abwehr
Einer Malware auf der Spur. Benötige Sherlock Holmes!
streamVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Guten Abend Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf ...

Batch & Shell
Tabellarische Ausgabe der Netzwerkschnittstellen
gelöst dysti99Vor 21 StundenFrageBatch & Shell18 Kommentare

Mit - ip a - werden ja die Netzwerkschnittstellen angezeigt. Ich möchte mit ein Batchscript folgende Ausgabe erreichen: 1 eth0 192.168.1.1 AD:13:67:56:14:D1 2 eth1 ...

Ubuntu
Mailserver Test Provider IP
gelöst it-blzVor 1 TagFrageUbuntu9 Kommentare

Hallo, ist es möglich einen "Mailserver" (Imap + smtp) in einer Virtual Box mit einer Provider IP (dynamisch - ist allerdings konstant) zu testen? ...

Microsoft
MS Teams und Office im gemeinnützigen Verein
DanielBodenseeVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen, ich würde gerne in unserem anerkannten gemeinnützigen Verein eine gemeinsame Platform aufbauen, über die wir Diskutieren und uns austauschen können, insbesondere bei ...

Hardware
DisplayPort zu USB-C Adapter Converter
gelöst felixhuth-itVor 1 TagFrageHardware11 Kommentare

Hallo liebe Gemeinde Ich habe da ein kleines Problemchen. Der Kunde wollte einen 14 Zoll Monitor mit Touch in Verbindung mit einem Mini PC ...

Linux Netzwerk
SAMBA FS Portfreigabe
gelöst Jannik2018Vor 1 TagFrageLinux Netzwerk17 Kommentare

Hallo zusammen, ich habe eine Portfreigabe für meinen SAMBA Server mit Netzwerkfreigaben auf port 445 TCP eingerichtet allerdings wenn ich per DNS oder externer ...

Microsoft Office
Wechsel von Office - Exchange on premise zu Office 365 - Exchange Online
jann0rVor 17 StundenAllgemeinMicrosoft Office10 Kommentare

Moin, ich weiß nicht so richtig, unter welche Überschrift man dieses Thema hier am besten packen kann, daher mal als allg. Beitrag / Erfahrungsbericht. ...