gk3000
Goto Top

Exchange 2010 - Problem mit erneuern von Godaddy Zertifikat

Hallo,

ich habe ein abgelaufenes Zertifikat, in der Exchange Verwaltungskonsole klicke ich auf Exchange-Zertifikat erneuern.
Das funktioniert auch, ich erstelle die .req Datei.

Danach habe ich unter Exchange Zertifikate ein neues mit dem Status "Dies ist eine ausstehende Zertifikatsignieranforderung.

Wenn ich auf Anstehende Anforderung abschliessen gehe lade ich meine .crt datei. Alles sieht gut aus, mit zwei grünen Häkchen bei abgeschlossen.
"ausführung eines Exchange Verwaltungsbefehls abgeschlossen usw."

Nur habe ich dann immer noch die ausstehende Zertifikatsignieranforderung stehen, kann sie natürlich nicht abschliessen, weil das Zertifikat ja schon in der Konsole zu sehen ist.

Was mache ich falsch?

Content-ID: 386623

Url: https://administrator.de/forum/exchange-2010-problem-mit-erneuern-von-godaddy-zertifikat-386623.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

certifiedit.net
certifiedit.net 15.09.2018 um 18:33:13 Uhr
Goto Top
Was sagt denn der Exchange Server? Hat er das aktuelle Zert nun ordentlich drin, oder nicht?

Viele Grüße,

Christian
StefanKittel
StefanKittel 15.09.2018 um 18:47:46 Uhr
Goto Top
Hallo,

aus vielen Gründen nutze ich openssl um ein CSR- und eine Key-Datei zu erstellen.
Damit lasse ich mir dann von z.B. Comodo ein Zertifikat erstellen was ich als PEM- oder CER-Datei erhalte.

Wieder mit openssl erstelle ich damit eine pfx-Datei.
Diese importiere ich in die Zertifikatesverwaltung des Servers. Nicht des Benutzers!
Danach wähle ich in der Exchange-Management-Console dieses Zertifikat aus und fertig.

Stefan
gk3000
gk3000 15.09.2018 um 19:03:19 Uhr
Goto Top
Hi,
hier ein Screenshot.
Habe auch schon den Server neu gestartet
20180915-problem
gk3000
gk3000 15.09.2018 um 19:04:07 Uhr
Goto Top
Danke, aber das trifft nicht wirklich auf mein Problem zu. Ich habe bereits ein SSL Zertifikat für 2 Jahre, das möchte ich auch verwenden.
StefanKittel
StefanKittel 15.09.2018 aktualisiert um 19:35:06 Uhr
Goto Top
Zitat von @gk3000:
Danke, aber das trifft nicht wirklich auf mein Problem zu. Ich habe bereits ein SSL Zertifikat für 2 Jahre, das möchte ich auch verwenden.
Du kannst bei jedem Anbieter sagen, dass Dein Zertifikat kompromitiert wurde und ein neues ausstellen lassen. Kost nix.
Stefan
certifiedit.net
certifiedit.net 15.09.2018 um 19:40:11 Uhr
Goto Top
ok und was zeigt der Exchange an? Wir können hier noch lange rumrätseln, entweder du nennst uns den Namen des Exchange, damit man sagen kann ob es geklappt hat, oder du solltest dir kommerzielle Hilfe suchen...
gk3000
gk3000 15.09.2018 um 19:51:53 Uhr
Goto Top
Der Exchange zeigt an das das Zertifikat abelaufen ist. (siehe screenshot von mir)
auch webmail berichtet das.

Also meint ihr ich soll von godaddy ein neues zertifikat anfordern, gibt ja die Möglichkeit dazu.
Pjordorf
Pjordorf 15.09.2018 um 20:17:33 Uhr
Goto Top
Hallo,

Zitat von @gk3000:
Der Exchange zeigt an das das Zertifikat abelaufen ist
Das hast du eingangs schon gesagt.

auch webmail berichtet das.
OK.

Also meint ihr ich soll von godaddy ein neues zertifikat anfordern, gibt ja die Möglichkeit dazu.
Ist eine Möglichkeit und evtl die Lösung, aber es muss nicht. Wie ist denn dein Exchange ans Internet geklöppelt? Direkt oder hängt noch was davor wie eine UTM oder so?

Gruß,
Peter
mxrecord
mxrecord 15.09.2018 um 20:24:38 Uhr
Goto Top
Hallo gk3000,

Wurde das Zertifikat (also die crt-Datei), welches du importieren möchtest, auch auf Grundlage der req-Datei, die du erzeugt hast, ausgestellt?

Grüße
gk3000
gk3000 15.09.2018 um 20:29:01 Uhr
Goto Top
exchange kann direkt ins internet

Ich habe von Godaddy automatisch eine .crt datei und eine .p7b datei bekommen. ich will das Zertifikat ja nur erweitern und nicht ein neues erstellen.

Danach in der Exchange verwaltungskonsole auf das abgelaufene zertifikat geklickt (ist heute abgelaufen), und auf Exchange zertifikat erneuern.
In diesem Vorgang erstellt man eine .req (muss ehrlich sagen ich weiß nicht was ich damit machen soll)

Danach erscheint ein neues Zertifikat mit Dies ist eine ausstehende Zertifikatsignieranforderung.
Klicke ich auf Vorgang abschliessen und wähle die .crt datei aus ist alles grün, nur es passiert sonst nichts.
mxrecord
mxrecord 15.09.2018 um 20:38:28 Uhr
Goto Top
Hallo gk3000,

dann ist klar, warum das nicht funktioniert.
Ein vorhandenes Zertifikat kann hier nicht einfach "erweitert" werden, technisch gesehen ist das ein neues Zertifikat.
Ich habe es eben mal getestet, interessanterweise akzeptiert der Exchange hierbei tatsächlich jedes Zertifikat, auch ohne Bezug zur Anforderung, die man hier eigentlich abschließen will.

Grundsätzlich ist der Ablauf etwas anders, zuerst erzeugst du auf deinem System den CSR (=REQ-Datei).
Diese REQ-Datei schickst du dann an deine Zertifizierungsstelle (=GoDaddy in diesem Fall), welche dir auf Grundlage dieser Dateien dein Zertifikat ausstellen.
Anschließend kannst du das importieren und auch verwenden, da es dann zum CSR passt.

Am einfachsten wäre es wahrscheinlich, wenn du deine erzeugte REQ-Datei nimmst und damit bei GoDaddy ein neues Zertifikat anfragen würdest.
Wenn ich das in deren Online-Hilfe richtig sehe, kannst du das in deren Kundenverwaltung direkt vornehmen - dabei sollten keinerlei Kosten entstehen.

Grüße
gk3000
gk3000 15.09.2018 um 20:52:54 Uhr
Goto Top
Hi,

zuerstmal danke, das hier so viele hilfsbereite Menschen am Samstag Abend sind face-smile Dann muss ich zugeben das Zertifikate meine Schwachstelle sind, weiß gar nicht mehr ob dieses Thema beim Microsoft Exchange Kurs durchgenommen wurde, bzw. wenn dann nur kurz.

Ich konnte es jetzt lösen.

Zu MXrecord: Ich habe es schon richtig gemacht, es gibt ja Go-Daddy Anleitungen, und auch viele im Internet. Hätte mein Ansatz nicht funktioniert hätte ich das Zertifikat so erneuert wie du und die anderen netten Kollegen es beschrieben haben. Nur wäre das eigentlich ein neues Zertifikat gewesen, keine erneuerung im Eigentlichen sinn.

Also, wie ich es gemacht habe hab ich ja schon beschrieben. Nun habe ich aber mal mit certutil -repairstore my (seriennummer vom cert) alle go-daddys repairt. beim zwischenzertifizierungszertifikat - reparieren war plötzlich dann das zertifikat in der exchange konsole mit grün versehen, und der schlüssel beim Zertifikat in der Konsole war da face-smile

Ich konnte es nicht glauben, gleich mit webmail drauf, zertifikat ist okay, und auch mein handy hat die mails wieder geladen (tat es nicht mehr seit das zertifikat am nachmittag abgelaufen war)

Ich möchte mich nochmal bei jedem bedanken der mir geholfen hat, zum einen um mir andere Lösungswege aufzuzgeigen, zum anderen damit ich was anderes ausprobiere, so bin ich dann ja schlussendlich auf die Lösung gekommen.

Mich wundert nur das ich zu diesem Problem sehr wenig gefunden habe, und nur in einem englischen Beitrag war mal ein zusammenhang zwischen der Anforderung und dem certutil -repair zu finden.

Also Danke nochmal face-smile
certifiedit.net
certifiedit.net 15.09.2018 um 21:04:08 Uhr
Goto Top
Hallo,

dann verlink die Lösung bitte noch direkt.

VG
Pjordorf
Pjordorf 15.09.2018 um 21:11:11 Uhr
Goto Top
Hallo,

Zitat von @gk3000:
Dann muss ich zugeben das Zertifikate meine Schwachstelle sind, weiß gar nicht mehr ob dieses Thema beim Microsoft Exchange Kurs durchgenommen wurde, bzw. wenn dann nur kurz.
Das ist nicht nur deien Schwachstelle. Viele fassen Zertifikate har nicht erst an. Das Zertifikats Thema ist mittlerweile ja schon fast mächtiger als Exchange.
Zertifikate können nach dem Ausstellen (denn dann liegt die Datei ja schon vor) nicht weiter Verändert / Verlängert werden. Da ist nur ein neues Zertifikat möglich.
Aber schön wenn es jetzt bei dir wieder tut.

Gruß.
Peter