11
Exchange 2007 Zertifikat erneuern
Hallo Leute,
ich habe von meinem Unix Admin das neue Wildcard Zertifikat von Thawte bekommen und soll es jetzt in den Exchange einpflegen.
wir haben bereits ein Wildcard Zertikat von Thawte im Exchange und wenn ich das neue Importieren möchte bekomme ich die meldung, dass ein Zert mit dem selben Fingerabdruck schon vorhanden ist.
muss ich das alte erstmal via remove-exchangecertificate löschen damit ich das neue importieren kann ????
Gruß
uLmi
PS: macht nichts wenns schnell geht
ich habe von meinem Unix Admin das neue Wildcard Zertifikat von Thawte bekommen und soll es jetzt in den Exchange einpflegen.
wir haben bereits ein Wildcard Zertikat von Thawte im Exchange und wenn ich das neue Importieren möchte bekomme ich die meldung, dass ein Zert mit dem selben Fingerabdruck schon vorhanden ist.
muss ich das alte erstmal via remove-exchangecertificate löschen damit ich das neue importieren kann ????
Gruß
uLmi
PS: macht nichts wenns schnell geht
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171360
Url: https://administrator.de/contentid/171360
Printed on: April 24, 2024 at 18:04 o'clock
11 Comments
Latest comment
Hallo Ulmi,
Dann mach das doch!
Wie? Das Ergebnis von http://www.google.de/search?q=remove-exchangecertificate ist
http://technet.microsoft.com/de-de/library/aa997569(EXCHG.80).aspx
Gruß,
Karl
p.s.
Hilf Dir selbst, dann hilft Dir Karl
Dann mach das doch!
Wie? Das Ergebnis von http://www.google.de/search?q=remove-exchangecertificate ist
http://technet.microsoft.com/de-de/library/aa997569(EXCHG.80).aspx
Gruß,
Karl
p.s.
Hilf Dir selbst, dann hilft Dir Karl
Hallo,
ich würde behaupten, der Admin hat dir das falsche Zertifikat gegeben. Wenn der Thumbprint gleich ist, ist auch das Zertifikat gleich, sprich: er hat dir das alte nochmal geschickt. Falls es doch das neue sein sollte, solltest du beide ausdrucken & einrahmen lassen: Das für zwei unterschiedliche Klartexte der gleiche kryptopgraphische Hash (das ist ein Thumbprint) erzeugt wird ist zwar keinesfalls unmöglich, aber so unwahrscheinlich, dass ein 6er im Lotto ein Scherz dagegen ist.
Gruß
Filipp
ich würde behaupten, der Admin hat dir das falsche Zertifikat gegeben. Wenn der Thumbprint gleich ist, ist auch das Zertifikat gleich, sprich: er hat dir das alte nochmal geschickt. Falls es doch das neue sein sollte, solltest du beide ausdrucken & einrahmen lassen: Das für zwei unterschiedliche Klartexte der gleiche kryptopgraphische Hash (das ist ein Thumbprint) erzeugt wird ist zwar keinesfalls unmöglich, aber so unwahrscheinlich, dass ein 6er im Lotto ein Scherz dagegen ist.
Gruß
Filipp
ja sowas mache ich aber nicht während der Arbeitszeit.
ich probier das morgen aus.
ich probier das morgen aus.
Hi,
die thumbprints sind unterschiedlich.
wenn ich das neue importieren will sagt er thumbprint schon vorhanden.
bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
muss ich die alte umbedingt vorher entfernen ? wegen dem gleichen domainnamen
aber er meckert ja wegen dem Thumbprint ...
Ich habe das ursprünglich PEM in eine CER mit Openssl konvertiert. Mit einer PKCS hab ich es auch schon probiert.
http://www.msxfaq.net/signcrypt/openssl.htm
Gruß
uLmi
die thumbprints sind unterschiedlich.
wenn ich das neue importieren will sagt er thumbprint schon vorhanden.
bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
muss ich die alte umbedingt vorher entfernen ? wegen dem gleichen domainnamen
aber er meckert ja wegen dem Thumbprint ...
Ich habe das ursprünglich PEM in eine CER mit Openssl konvertiert. Mit einer PKCS hab ich es auch schon probiert.
http://www.msxfaq.net/signcrypt/openssl.htm
Gruß
uLmi
Hallo,
Gruß
Filipp
bekomm ich nicht einfach beide rein und lege dann die services einfach auf den Thumbprint ???
doch, so ist es üblich. Wenn es bei dir anders ist, ist was falsch...die thumbprints sind unterschiedlich.
Bist du dir sicher, dass du das Zertifikat nicht schon in den Cert-Store hinterlegt hast (geg. auch in einen anderen Zweig, also etwa "Other Persons"? Wichtig ist, dass du im Store vom SYSTEM-Konto suchst: Run -> mmc -> Add Snapin -> Certificates und dort dann auswählen, dass der Store des Computerkontos geöffnet werden soll.Gruß
Filipp
danke für den hinweis ich bin mir nicht genau sicher was du meinst aber ich schau mir das später an und beurteile dann ob es geholfen hat
danke und gruß
uLmi
danke und gruß
uLmi
also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.
folgendes ergebniss kommt:
[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
CERT_CHAIN_CONTEXT --------
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
CertContext: dwInfoStatus=4 dwErrorStatus=1000040
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=Firma GmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
Application = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
Exclude leaf cert:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Full chain:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Missing Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=FirmaGmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden. 0x800b010a (-2146762486
)
Thumbprint Services Subject
-------- -------
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX ..... CN=*.firma.de, OU=IT, O=Firma GmbH, L=Erkrath, S=Nordrh...
wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.
Ich glaube die meldung:
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.
ist wichtig aber was soll ich jetzt machen, die CA vom alten Certi ist ja drin brauche ich eine neue CA ?
die alte CA heißt: Thawte Premium Server CA
die neue CA heißt: Thawte SSL CA
kann es daran liegen das er die Kette nicht findet ?
wenn ich unter Vertrauenswürdige Stammzertifizierungsstellen gucke, sehe ich: Thawte Premium Server CA und Thawte Timestamping CA aber nichts was zu dem neuen Cert passen würde.
das liegt bestimmt daran oder ?
ich habe jetzt auf thawte die root CA runtergeladen aber die heißen auch alle "Thawte Premium Server CA und nicht Thawte SSL CA
Gruß
uLmi
folgendes ergebniss kommt:
[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
CERT_CHAIN_CONTEXT --------
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
CertContext: dwInfoStatus=4 dwErrorStatus=1000040
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=Firma GmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
Application = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
Exclude leaf cert:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Full chain:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Missing Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
Issuer: CN=Thawte SSL CA, O="Thawte, Inc.", C=US
NotBefore: 12.07.2011 02:00
NotAfter: 10.09.2013 01:59
Subject: CN=*.firma.de, OU=IT, O=FirmaGmbH, L=Stadt, S=Nordrhein-Westfalen, C=DE
Serial: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden. 0x800b010a (-2146762486
)
Thumbprint Services Subject
-------- -------
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX ..... CN=*.firma.de, OU=IT, O=Firma GmbH, L=Erkrath, S=Nordrh...
wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.
Ich glaube die meldung:
Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.
ist wichtig aber was soll ich jetzt machen, die CA vom alten Certi ist ja drin brauche ich eine neue CA ?
die alte CA heißt: Thawte Premium Server CA
die neue CA heißt: Thawte SSL CA
kann es daran liegen das er die Kette nicht findet ?
wenn ich unter Vertrauenswürdige Stammzertifizierungsstellen gucke, sehe ich: Thawte Premium Server CA und Thawte Timestamping CA aber nichts was zu dem neuen Cert passen würde.
das liegt bestimmt daran oder ?
ich habe jetzt auf thawte die root CA runtergeladen aber die heißen auch alle "Thawte Premium Server CA und nicht Thawte SSL CA
Gruß
uLmi
Hallo,
1. das Zertifikat liegt nicht unter eigene Zertifikate im CertStore von Computerkonto
2. du hast keinen privaten Schlüssel
3. Exchange traut dem Zertifikat nicht
1.+2. kannst du in der MMC überprüfen. Den Pfad, wo es abgelegt ist, siehst du ja direkt. Und wenn du auf das Zertifikat doppelklickst öffnet sich ja das Fenster mit den Zertifikatseigenschaften. Hier muss auf dem ersten Reiter unten stehen "Sie besitzen einen prviaten Schlüssel für das Zertifikat".
Am Wahrscheinlichsten ist aber natürlich das mit der Zertifikatskette, nachdem das schon gemeldet wurde. Und ja, das ist wichtig. Und ja, es kann gut sein, dass du entweder ein neues Trusted Root-Zertifikat hinzufügen musst oder ein Zwischenzertifikat. Der Sinn eines gekauften Zertifikats ist es aber eigentlich, dass das Root-Zertifikat bei allen möglichen Clients schon von Haus aus (als vertrauenswürdig) vorhanden ist.
Sprich denjenigen an, von dem du das Zertifikat hast, er soll dir weiterhelfen.
Oder versuch mal: Speichere das Zertifikat von https://search.thawte.com/support/ssl-digital-certificates/index?page=co ... in eine Datei mit der Endung .cer und importiere es unter Zwischenzertifizierungsstellen (wieder im Computerkonto natürlich).
Gruß
Filipp
also ich habe das neue Cert via mmc aus dem ComputerKonto entfernt und dann via import neu eingefügt.
Also war das _neue_ Zeritifkat bereits importiert? Somit wäre also wenigstens die Meldung mit dem "Schon Zertifikat mit gleichem Zertifikat vorhanden" erklärt. Richtig?[PS] C:\Windows\system32>Import-ExchangeCertificate -Path C:\cert\firma.de.cer
Du hast es doch schon über die MMC importiert. Warum willst du es dann nochmal über PS importieren?wenn ich dann get cert mache sehe ich immer noch das alte aber das neue ist nicht mit dabei.
in der MMC ist das neue aber drin.
Das könnte drei Ursachen haben:in der MMC ist das neue aber drin.
1. das Zertifikat liegt nicht unter eigene Zertifikate im CertStore von Computerkonto
2. du hast keinen privaten Schlüssel
3. Exchange traut dem Zertifikat nicht
1.+2. kannst du in der MMC überprüfen. Den Pfad, wo es abgelegt ist, siehst du ja direkt. Und wenn du auf das Zertifikat doppelklickst öffnet sich ja das Fenster mit den Zertifikatseigenschaften. Hier muss auf dem ersten Reiter unten stehen "Sie besitzen einen prviaten Schlüssel für das Zertifikat".
Am Wahrscheinlichsten ist aber natürlich das mit der Zertifikatskette, nachdem das schon gemeldet wurde. Und ja, das ist wichtig. Und ja, es kann gut sein, dass du entweder ein neues Trusted Root-Zertifikat hinzufügen musst oder ein Zwischenzertifikat. Der Sinn eines gekauften Zertifikats ist es aber eigentlich, dass das Root-Zertifikat bei allen möglichen Clients schon von Haus aus (als vertrauenswürdig) vorhanden ist.
Sprich denjenigen an, von dem du das Zertifikat hast, er soll dir weiterhelfen.
Oder versuch mal: Speichere das Zertifikat von https://search.thawte.com/support/ssl-digital-certificates/index?page=co ... in eine Datei mit der Endung .cer und importiere es unter Zwischenzertifizierungsstellen (wieder im Computerkonto natürlich).
Gruß
Filipp
ich hab es vom PEM in eine PFX convert. diese Datei habe ich auf dem Server mit dem IIS importiert und danach war es auch in der liste bei "get-ExchangeCert..)
dann habe ich die Dienste umgelegt.
Bei Outlook (Autodiscover) bekomme ich die meldung, dass die Zertifizierungsstelle nicht ermittelt werden konnte.
Wenn ich den Webmailer aufrufe sagt er auch, dass die Seite nicht Vertrauenswürdig ist.
Das was du auf der Thawte Seite gefunden hast, ist glaube ich schon ganz gut. zumindest habe ich es am Server eingepflegt und es passt genau zu dem Herrausgeben des Zertifikates, also: Thawte SSL CA
aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.
Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Ich könnte wieder so kotzen ...
Danke dir trotzdem für deine Unterstützung (selbst am WE)
Edit: Zertifikats informationen:
Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden.
Ausgestellt für: *.firma.de
Ausgestellt von: Thawte SSL CA
Gruß
uLmi
dann habe ich die Dienste umgelegt.
Bei Outlook (Autodiscover) bekomme ich die meldung, dass die Zertifizierungsstelle nicht ermittelt werden konnte.
Wenn ich den Webmailer aufrufe sagt er auch, dass die Seite nicht Vertrauenswürdig ist.
Das was du auf der Thawte Seite gefunden hast, ist glaube ich schon ganz gut. zumindest habe ich es am Server eingepflegt und es passt genau zu dem Herrausgeben des Zertifikates, also: Thawte SSL CA
aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.
Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Ich könnte wieder so kotzen ...
Danke dir trotzdem für deine Unterstützung (selbst am WE)
Edit: Zertifikats informationen:
Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden.
Ausgestellt für: *.firma.de
Ausgestellt von: Thawte SSL CA
Gruß
uLmi
Hallo,
Gruß
Filipp
aber eigentlich muss doch Thawte bei allen Clients in den Vertrauenswürdigen Zertifizierungsstellen stehen.
Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Die Clients müssen das Ausstellerzertifikat nicht direkt als vertrauenswürdiges Root-Zertifikat hinterlegt haben, sie müssen es nur auf ein solches zurückführen können. Das ist die Sache mit den Zertifikatsketten. Wenn dein Zert von "Thawte SSL CA" signiert ist, und dieses wiederum von "Thawte Premium Server CA" (oder einem anderen, dem der Client vertraut), dann ist alles in bester Ordnung. Deswegen schrieb ich auch, dass du es in den Zwischenzertifizierungsstellen hinzufügen solltest. Der Server liefert bei Anfragen nicht nur dein Zertifikat aus, sondern auch alle Zwischenzertifikate, die zum Erstellen der Zertifikatskette benötigt werden. Und der Client bildet dann eine transitive Vertrauenskette von dem bei ihm gespeicherten Root-Zertifikat bis zu deinem Zertifikat. Wenn du das Zertifikat von der Homepage mal betrachtest, wirst du feststellen, dass es von "thawte Primary Root CA" unterzeichnet ist. Und der vertraut Windows.Warum habe ich bei meinem Zertifikat "Thawte SSL CA" wenn alle Clients nur "Thawte Premium Server CA" kennen.
Gruß
Filipp
Okay auf jedenfall läuft es jetzt.
ich habe das Cert wie du gesagt hattest auch in die zwischen zertifizierungsstellen beim server eingetragen und am montag gab es keine Probleme... komisch nur dass ich am Samstag diese Fehler bekam.
Naja Thema erledigt.
Wichtig waren folgende dinge (zumindest für meine auffassung):
1. eine PFX als zu importierendes Format.
2. import via IIS Manager
3. das Zertifikat in die zwischenzertifizierungstelle kopieren oder war es das CA ? keine ahnung...
Thema gelöst !
Danke noch mal !
uLmi
ich habe das Cert wie du gesagt hattest auch in die zwischen zertifizierungsstellen beim server eingetragen und am montag gab es keine Probleme... komisch nur dass ich am Samstag diese Fehler bekam.
Naja Thema erledigt.
Wichtig waren folgende dinge (zumindest für meine auffassung):
1. eine PFX als zu importierendes Format.
2. import via IIS Manager
3. das Zertifikat in die zwischenzertifizierungstelle kopieren oder war es das CA ? keine ahnung...
Thema gelöst !
Danke noch mal !
uLmi
