14
Exchange 2010 - Problem mit erneuern von Godaddy Zertifikat
Hallo,
ich habe ein abgelaufenes Zertifikat, in der Exchange Verwaltungskonsole klicke ich auf Exchange-Zertifikat erneuern.
Das funktioniert auch, ich erstelle die .req Datei.
Danach habe ich unter Exchange Zertifikate ein neues mit dem Status "Dies ist eine ausstehende Zertifikatsignieranforderung.
Wenn ich auf Anstehende Anforderung abschliessen gehe lade ich meine .crt datei. Alles sieht gut aus, mit zwei grünen Häkchen bei abgeschlossen.
"ausführung eines Exchange Verwaltungsbefehls abgeschlossen usw."
Nur habe ich dann immer noch die ausstehende Zertifikatsignieranforderung stehen, kann sie natürlich nicht abschliessen, weil das Zertifikat ja schon in der Konsole zu sehen ist.
Was mache ich falsch?
ich habe ein abgelaufenes Zertifikat, in der Exchange Verwaltungskonsole klicke ich auf Exchange-Zertifikat erneuern.
Das funktioniert auch, ich erstelle die .req Datei.
Danach habe ich unter Exchange Zertifikate ein neues mit dem Status "Dies ist eine ausstehende Zertifikatsignieranforderung.
Wenn ich auf Anstehende Anforderung abschliessen gehe lade ich meine .crt datei. Alles sieht gut aus, mit zwei grünen Häkchen bei abgeschlossen.
"ausführung eines Exchange Verwaltungsbefehls abgeschlossen usw."
Nur habe ich dann immer noch die ausstehende Zertifikatsignieranforderung stehen, kann sie natürlich nicht abschliessen, weil das Zertifikat ja schon in der Konsole zu sehen ist.
Was mache ich falsch?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386623
Url: https://administrator.de/contentid/386623
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
14 Kommentare
Neuester Kommentar
Was sagt denn der Exchange Server? Hat er das aktuelle Zert nun ordentlich drin, oder nicht?
Viele Grüße,
Christian
Viele Grüße,
Christian
1
Hallo,
aus vielen Gründen nutze ich openssl um ein CSR- und eine Key-Datei zu erstellen.
Damit lasse ich mir dann von z.B. Comodo ein Zertifikat erstellen was ich als PEM- oder CER-Datei erhalte.
Wieder mit openssl erstelle ich damit eine pfx-Datei.
Diese importiere ich in die Zertifikatesverwaltung des Servers. Nicht des Benutzers!
Danach wähle ich in der Exchange-Management-Console dieses Zertifikat aus und fertig.
Stefan
aus vielen Gründen nutze ich openssl um ein CSR- und eine Key-Datei zu erstellen.
Damit lasse ich mir dann von z.B. Comodo ein Zertifikat erstellen was ich als PEM- oder CER-Datei erhalte.
Wieder mit openssl erstelle ich damit eine pfx-Datei.
Diese importiere ich in die Zertifikatesverwaltung des Servers. Nicht des Benutzers!
Danach wähle ich in der Exchange-Management-Console dieses Zertifikat aus und fertig.
Stefan
1
Hi,
hier ein Screenshot.
Habe auch schon den Server neu gestartet
hier ein Screenshot.
Habe auch schon den Server neu gestartet
Danke, aber das trifft nicht wirklich auf mein Problem zu. Ich habe bereits ein SSL Zertifikat für 2 Jahre, das möchte ich auch verwenden.
Zitat von @gk3000:
Danke, aber das trifft nicht wirklich auf mein Problem zu. Ich habe bereits ein SSL Zertifikat für 2 Jahre, das möchte ich auch verwenden.
Du kannst bei jedem Anbieter sagen, dass Dein Zertifikat kompromitiert wurde und ein neues ausstellen lassen. Kost nix.Danke, aber das trifft nicht wirklich auf mein Problem zu. Ich habe bereits ein SSL Zertifikat für 2 Jahre, das möchte ich auch verwenden.
Stefan
1
ok und was zeigt der Exchange an? Wir können hier noch lange rumrätseln, entweder du nennst uns den Namen des Exchange, damit man sagen kann ob es geklappt hat, oder du solltest dir kommerzielle Hilfe suchen...
1
Der Exchange zeigt an das das Zertifikat abelaufen ist. (siehe screenshot von mir)
auch webmail berichtet das.
Also meint ihr ich soll von godaddy ein neues zertifikat anfordern, gibt ja die Möglichkeit dazu.
auch webmail berichtet das.
Also meint ihr ich soll von godaddy ein neues zertifikat anfordern, gibt ja die Möglichkeit dazu.
Hallo,
Das hast du eingangs schon gesagt.
Gruß,
Peter
Das hast du eingangs schon gesagt.
auch webmail berichtet das.
OK.Also meint ihr ich soll von godaddy ein neues zertifikat anfordern, gibt ja die Möglichkeit dazu.
Ist eine Möglichkeit und evtl die Lösung, aber es muss nicht. Wie ist denn dein Exchange ans Internet geklöppelt? Direkt oder hängt noch was davor wie eine UTM oder so?Gruß,
Peter
1
Hallo gk3000,
Wurde das Zertifikat (also die crt-Datei), welches du importieren möchtest, auch auf Grundlage der req-Datei, die du erzeugt hast, ausgestellt?
Grüße
Wurde das Zertifikat (also die crt-Datei), welches du importieren möchtest, auch auf Grundlage der req-Datei, die du erzeugt hast, ausgestellt?
Grüße
1
exchange kann direkt ins internet
Ich habe von Godaddy automatisch eine .crt datei und eine .p7b datei bekommen. ich will das Zertifikat ja nur erweitern und nicht ein neues erstellen.
Danach in der Exchange verwaltungskonsole auf das abgelaufene zertifikat geklickt (ist heute abgelaufen), und auf Exchange zertifikat erneuern.
In diesem Vorgang erstellt man eine .req (muss ehrlich sagen ich weiß nicht was ich damit machen soll)
Danach erscheint ein neues Zertifikat mit Dies ist eine ausstehende Zertifikatsignieranforderung.
Klicke ich auf Vorgang abschliessen und wähle die .crt datei aus ist alles grün, nur es passiert sonst nichts.
Ich habe von Godaddy automatisch eine .crt datei und eine .p7b datei bekommen. ich will das Zertifikat ja nur erweitern und nicht ein neues erstellen.
Danach in der Exchange verwaltungskonsole auf das abgelaufene zertifikat geklickt (ist heute abgelaufen), und auf Exchange zertifikat erneuern.
In diesem Vorgang erstellt man eine .req (muss ehrlich sagen ich weiß nicht was ich damit machen soll)
Danach erscheint ein neues Zertifikat mit Dies ist eine ausstehende Zertifikatsignieranforderung.
Klicke ich auf Vorgang abschliessen und wähle die .crt datei aus ist alles grün, nur es passiert sonst nichts.
Hallo gk3000,
dann ist klar, warum das nicht funktioniert.
Ein vorhandenes Zertifikat kann hier nicht einfach "erweitert" werden, technisch gesehen ist das ein neues Zertifikat.
Ich habe es eben mal getestet, interessanterweise akzeptiert der Exchange hierbei tatsächlich jedes Zertifikat, auch ohne Bezug zur Anforderung, die man hier eigentlich abschließen will.
Grundsätzlich ist der Ablauf etwas anders, zuerst erzeugst du auf deinem System den CSR (=REQ-Datei).
Diese REQ-Datei schickst du dann an deine Zertifizierungsstelle (=GoDaddy in diesem Fall), welche dir auf Grundlage dieser Dateien dein Zertifikat ausstellen.
Anschließend kannst du das importieren und auch verwenden, da es dann zum CSR passt.
Am einfachsten wäre es wahrscheinlich, wenn du deine erzeugte REQ-Datei nimmst und damit bei GoDaddy ein neues Zertifikat anfragen würdest.
Wenn ich das in deren Online-Hilfe richtig sehe, kannst du das in deren Kundenverwaltung direkt vornehmen - dabei sollten keinerlei Kosten entstehen.
Grüße
dann ist klar, warum das nicht funktioniert.
Ein vorhandenes Zertifikat kann hier nicht einfach "erweitert" werden, technisch gesehen ist das ein neues Zertifikat.
Ich habe es eben mal getestet, interessanterweise akzeptiert der Exchange hierbei tatsächlich jedes Zertifikat, auch ohne Bezug zur Anforderung, die man hier eigentlich abschließen will.
Grundsätzlich ist der Ablauf etwas anders, zuerst erzeugst du auf deinem System den CSR (=REQ-Datei).
Diese REQ-Datei schickst du dann an deine Zertifizierungsstelle (=GoDaddy in diesem Fall), welche dir auf Grundlage dieser Dateien dein Zertifikat ausstellen.
Anschließend kannst du das importieren und auch verwenden, da es dann zum CSR passt.
Am einfachsten wäre es wahrscheinlich, wenn du deine erzeugte REQ-Datei nimmst und damit bei GoDaddy ein neues Zertifikat anfragen würdest.
Wenn ich das in deren Online-Hilfe richtig sehe, kannst du das in deren Kundenverwaltung direkt vornehmen - dabei sollten keinerlei Kosten entstehen.
Grüße
1
Hi,
zuerstmal danke, das hier so viele hilfsbereite Menschen am Samstag Abend sind
Dann muss ich zugeben das Zertifikate meine Schwachstelle sind, weiß gar nicht mehr ob dieses Thema beim Microsoft Exchange Kurs durchgenommen wurde, bzw. wenn dann nur kurz.
Ich konnte es jetzt lösen.
Zu MXrecord: Ich habe es schon richtig gemacht, es gibt ja Go-Daddy Anleitungen, und auch viele im Internet. Hätte mein Ansatz nicht funktioniert hätte ich das Zertifikat so erneuert wie du und die anderen netten Kollegen es beschrieben haben. Nur wäre das eigentlich ein neues Zertifikat gewesen, keine erneuerung im Eigentlichen sinn.
Also, wie ich es gemacht habe hab ich ja schon beschrieben. Nun habe ich aber mal mit certutil -repairstore my (seriennummer vom cert) alle go-daddys repairt. beim zwischenzertifizierungszertifikat - reparieren war plötzlich dann das zertifikat in der exchange konsole mit grün versehen, und der schlüssel beim Zertifikat in der Konsole war da
Ich konnte es nicht glauben, gleich mit webmail drauf, zertifikat ist okay, und auch mein handy hat die mails wieder geladen (tat es nicht mehr seit das zertifikat am nachmittag abgelaufen war)
Ich möchte mich nochmal bei jedem bedanken der mir geholfen hat, zum einen um mir andere Lösungswege aufzuzgeigen, zum anderen damit ich was anderes ausprobiere, so bin ich dann ja schlussendlich auf die Lösung gekommen.
Mich wundert nur das ich zu diesem Problem sehr wenig gefunden habe, und nur in einem englischen Beitrag war mal ein zusammenhang zwischen der Anforderung und dem certutil -repair zu finden.
Also Danke nochmal
zuerstmal danke, das hier so viele hilfsbereite Menschen am Samstag Abend sind
Dann muss ich zugeben das Zertifikate meine Schwachstelle sind, weiß gar nicht mehr ob dieses Thema beim Microsoft Exchange Kurs durchgenommen wurde, bzw. wenn dann nur kurz.Ich konnte es jetzt lösen.
Zu MXrecord: Ich habe es schon richtig gemacht, es gibt ja Go-Daddy Anleitungen, und auch viele im Internet. Hätte mein Ansatz nicht funktioniert hätte ich das Zertifikat so erneuert wie du und die anderen netten Kollegen es beschrieben haben. Nur wäre das eigentlich ein neues Zertifikat gewesen, keine erneuerung im Eigentlichen sinn.
Also, wie ich es gemacht habe hab ich ja schon beschrieben. Nun habe ich aber mal mit certutil -repairstore my (seriennummer vom cert) alle go-daddys repairt. beim zwischenzertifizierungszertifikat - reparieren war plötzlich dann das zertifikat in der exchange konsole mit grün versehen, und der schlüssel beim Zertifikat in der Konsole war da
Ich konnte es nicht glauben, gleich mit webmail drauf, zertifikat ist okay, und auch mein handy hat die mails wieder geladen (tat es nicht mehr seit das zertifikat am nachmittag abgelaufen war)
Ich möchte mich nochmal bei jedem bedanken der mir geholfen hat, zum einen um mir andere Lösungswege aufzuzgeigen, zum anderen damit ich was anderes ausprobiere, so bin ich dann ja schlussendlich auf die Lösung gekommen.
Mich wundert nur das ich zu diesem Problem sehr wenig gefunden habe, und nur in einem englischen Beitrag war mal ein zusammenhang zwischen der Anforderung und dem certutil -repair zu finden.
Also Danke nochmal
Hallo,
dann verlink die Lösung bitte noch direkt.
VG
dann verlink die Lösung bitte noch direkt.
VG
Hallo,
Zertifikate können nach dem Ausstellen (denn dann liegt die Datei ja schon vor) nicht weiter Verändert / Verlängert werden. Da ist nur ein neues Zertifikat möglich.
Aber schön wenn es jetzt bei dir wieder tut.
Gruß.
Peter
Zitat von @gk3000:
Dann muss ich zugeben das Zertifikate meine Schwachstelle sind, weiß gar nicht mehr ob dieses Thema beim Microsoft Exchange Kurs durchgenommen wurde, bzw. wenn dann nur kurz.
Das ist nicht nur deien Schwachstelle. Viele fassen Zertifikate har nicht erst an. Das Zertifikats Thema ist mittlerweile ja schon fast mächtiger als Exchange.Dann muss ich zugeben das Zertifikate meine Schwachstelle sind, weiß gar nicht mehr ob dieses Thema beim Microsoft Exchange Kurs durchgenommen wurde, bzw. wenn dann nur kurz.
Zertifikate können nach dem Ausstellen (denn dann liegt die Datei ja schon vor) nicht weiter Verändert / Verlängert werden. Da ist nur ein neues Zertifikat möglich.
Aber schön wenn es jetzt bei dir wieder tut.
Gruß.
Peter
