16
Exchange 2013 nimmt Letsencrypt Zertifikat nicht (mehr) an
Hallo,
wir nutzen auf dem Exchange Server 2013 (alle aktuellen Patches) ein Wildcardzertifikat von Letsencrypt. Das hat jetzt schon lange funktioniert - beim jetzigen will der Exchange das Zertifikat nicht annehmen:
Die Chain entspricht auch dem des letzten Zertifikates (R3 und ISRG Root X1).
Was ich alles getestet haben:
- Zertifikat mit sehr einfachem Passwort getestet um auszuschließen, dass ggf. Sonderzeichen nicht richtig erkannt werden
- Zertifikat auf anderem Pfad abgelegt
- Falschen oder nicht berechtigten Pfad angegeben -> Andere Fehlermeldung
Hat jemand eine Idee wo das Problem liegt? Es wurden seit dem letzten Import KB5005623, KB5005607, KB5005094 und KB5005099 installiert.
Danke
Michael
wir nutzen auf dem Exchange Server 2013 (alle aktuellen Patches) ein Wildcardzertifikat von Letsencrypt. Das hat jetzt schon lange funktioniert - beim jetzigen will der Exchange das Zertifikat nicht annehmen:
Import-ExchangeCertificate -Server XXXXXXX -FileName "\\XXXXXXX\yyyyyy\zert15.p12" -Password (ConvertTo-SecureString -String 'XXX' -AsPlainText -Force)
Ein spezieller RPC-Fehler ist auf Server XXXXXXX aufgetreten: Die Quelldaten können nicht importiert werden, oder das falsche Kennwort wurde angegeben.
+ CategoryInfo : ReadError: (:) [Import-ExchangeCertificate], InvalidOperationException
+ FullyQualifiedErrorId : [Server=XXXXXXX,RequestId=9d25ed37-171d-4d50-82d7-0263786ebab9,TimeStamp=07.10.2021 13:14:55] [FailureCategory=Cmdlet-InvalidOperationException] D4D8CA36,Microsoft.Exchange.Management.SystemConfiguratio
nTasks.ImportExchangeCertificate
+ PSComputerName : XXXXXXXWas ich alles getestet haben:
- Zertifikat mit sehr einfachem Passwort getestet um auszuschließen, dass ggf. Sonderzeichen nicht richtig erkannt werden
- Zertifikat auf anderem Pfad abgelegt
- Falschen oder nicht berechtigten Pfad angegeben -> Andere Fehlermeldung
Hat jemand eine Idee wo das Problem liegt? Es wurden seit dem letzten Import KB5005623, KB5005607, KB5005094 und KB5005099 installiert.
Danke
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1365533367
Url: https://administrator.de/contentid/1365533367
Printed on: May 2, 2024 at 18:05 o'clock
16 Comments
Latest comment
Ein spezieller RPC-Fehler ist auf Server XXXXXXX aufgetreten: Die Quelldaten können nicht importiert werden, oder das falsche Kennwort wurde angegeben.
Versuche es mal auf dem Server selbst ohne RPC, wenn das funktioniert, hast du schon mal die richtige Richtung gefunden.
Hallo Mike,
ich habe es über das Webfrontend probiert - und auch direkt auf dem Server in der Powershell (das ist der Code im Post) - da kommt jeweils die selbe Fehlermeldung.
Auf dem Server bin ich zwar über RPC - aber ausgeführt wird es dann lokal.
Ich habe auch eine Freigabe auf dem Exchangeserver getestet - damit er nicht auf einen anderen Server zugreifen muss.
Michael
ich habe es über das Webfrontend probiert - und auch direkt auf dem Server in der Powershell (das ist der Code im Post) - da kommt jeweils die selbe Fehlermeldung.
Auf dem Server bin ich zwar über RPC - aber ausgeführt wird es dann lokal.
Ich habe auch eine Freigabe auf dem Exchangeserver getestet - damit er nicht auf einen anderen Server zugreifen muss.
Michael
Bin jetzt zur Sicherheit über den Hyper-V-Manger auf den Server - also nicht mit RDP. Selber Fehler.
Wenn du es lokal versuchst, darf nicht "-Server XXXXXXX" als Option dabei sein, sonst nimmt er wieder das RPC dafür her. Sobald du es ohne RPC ausgeführt hast, muss es entweder gelingen, oder er zeigt einen neuen Fehler an, der mehr Details ausspuckt, als das RPC Protokoll. Das RPC Protokoll sagt nur aus, dass "etwas nicht geklappt hat", aber nicht, was...
Leider doch die gleiche Fehlermeldung:
[PS] C:\Windows\system32>Import-ExchangeCertificate -FileName "\\XXXXXX\yyyyyy\zert15.p12" -Password (ConvertTo-SecureString -String 'XXXX' -AsPlainText -Force)
Ein spezieller RPC-Fehler ist auf Server XXXXXX aufgetreten: Die Quelldaten können nicht importiert werden, oder das
falsche Kennwort wurde angegeben.
+ CategoryInfo : ReadError: (:) [Import-ExchangeCertificate], InvalidOperationException
+ FullyQualifiedErrorId : [Server=XXXXXX,RequestId=4e72bef5-093d-4baa-b182-180adcc4cfd8,TimeStamp=08.10.2021 07:1
3:35] [FailureCategory=Cmdlet-InvalidOperationException] D4BB6B73,Microsoft.Exchange.Management.SystemConfiguratio
nTasks.ImportExchangeCertificate
+ PSComputerName : XXXXXX
Dann mag er wirklich die Datei nicht oder es ist ein Passwort vergeben worden.
Ich habe es mal mit unserem Import-ExchangeCertificate verglichen, wir importieren eine .pfx
Ich habe es mal mit unserem Import-ExchangeCertificate verglichen, wir importieren eine .pfx
Jo - pfx und p12 ist das gleiche - kann man so oder so benennen. Es ist schon der 15. Import den wir so machen wollen - und der erste der nicht funktioniert.
Werde das Zertifikat nochmal erstellen - evtl. ist da wirklich was schief gegangen. Sonst fällt mir auch nix ein außer ggf. die KBs wieder zu deinstallieren....
Werde das Zertifikat nochmal erstellen - evtl. ist da wirklich was schief gegangen. Sonst fällt mir auch nix ein außer ggf. die KBs wieder zu deinstallieren....
Klicke die .p12 Datei mit der rechten Maustaste an und gehe dann auf "öffnen", also kein Doppelklick um sie zu öffnen. Dann solltest du den Inhalt sehen, schau ob alles passt, "ausgestellt für", "ausgestellt von: R3", "datum von/bis", kontrolliere das Datum vom Server in seiner Taskleiste...
Nutze dafür KeyStoreExplorer - und da sieht es aus wie alle anderen vorher auch (bis eben auf das Ablaufdatum beim Zertifikat)
Ich kenne den Explorer nicht, aber, ist das Vorhängeschloss nicht ein Symbol, dass ein Passwort vergeben wurde?
Vergleiche es mal im Explorer mit einem älteren Zertifikat, das funktioniert hat. Ist die erste Zeile das Zertifikat, das vorher drinnen war? Das sieht von den Symbolen her ganz anders aus...
Es ist ja der Private Key dabei -und ja da ist ein Passwort drin
Sieht bei älteren genau so aus..
Ich werde jetzt mal versuchen ein altes (das vorletzte) Zertifikat zu importieren - wenn das auch nicht geht hat sich am System was geändert - wenn es geht dann liegts am Zertifikat...
Sieht bei älteren genau so aus..
Ich werde jetzt mal versuchen ein altes (das vorletzte) Zertifikat zu importieren - wenn das auch nicht geht hat sich am System was geändert - wenn es geht dann liegts am Zertifikat...
Mit Passwort kann er es doch gar nicht importieren bzw kannst du das beim Import-ExchangeCertificate mit geben:
Import-ExchangeCertificate
[-Password <SecureString>]
Import-ExchangeCertificate
[-Password <SecureString>]
Also - altes funktioniert. Dann werde ich das Zertifikat bei Letsencrypt nochmal komplett neu erstellen. Wobei es im Apache2 und auf der Sophos XG ohne Probleme funktioniert.
Zitat von @NordicMike:
Mit Passwort kann er es doch gar nicht importieren bzw kannst du das beim Import-ExchangeCertificate mit geben:
Import-ExchangeCertificate
[-Password <SecureString>]
Mit Passwort kann er es doch gar nicht importieren bzw kannst du das beim Import-ExchangeCertificate mit geben:
Import-ExchangeCertificate
[-Password <SecureString>]
Doch - ist ja auch im Script drin... (Passwort mit XXXX ersetzt)
Also - habe das pfx nicht mit dem Tool sondern auf der Konsole erstellt:
Damit hat dann der Import geklappt - liegt dann wohl an dem KeyStoreExplorer...
Vielen Dank für die Hilfe!
openssl pkcs12 -export -out zertxX.pfx -inkey privateXX.key -in certXX.pem Vielen Dank für die Hilfe!
