mgs276
Goto Top

Exchange 2013 nimmt Letsencrypt Zertifikat nicht (mehr) an

Hallo,

wir nutzen auf dem Exchange Server 2013 (alle aktuellen Patches) ein Wildcardzertifikat von Letsencrypt. Das hat jetzt schon lange funktioniert - beim jetzigen will der Exchange das Zertifikat nicht annehmen:
Import-ExchangeCertificate -Server XXXXXXX -FileName "\\XXXXXXX\yyyyyy\zert15.p12" -Password (ConvertTo-SecureString -String 'XXX' -AsPlainText -Force)  

Ein spezieller RPC-Fehler ist auf Server XXXXXXX aufgetreten: Die Quelldaten können nicht importiert werden, oder das falsche Kennwort wurde angegeben.
    + CategoryInfo          : ReadError: (:) [Import-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=XXXXXXX,RequestId=9d25ed37-171d-4d50-82d7-0263786ebab9,TimeStamp=07.10.2021 13:14:55] [FailureCategory=Cmdlet-InvalidOperationException] D4D8CA36,Microsoft.Exchange.Management.SystemConfiguratio
  nTasks.ImportExchangeCertificate
    + PSComputerName        : XXXXXXX
Die Chain entspricht auch dem des letzten Zertifikates (R3 und ISRG Root X1).
Was ich alles getestet haben:
- Zertifikat mit sehr einfachem Passwort getestet um auszuschließen, dass ggf. Sonderzeichen nicht richtig erkannt werden
- Zertifikat auf anderem Pfad abgelegt
- Falschen oder nicht berechtigten Pfad angegeben -> Andere Fehlermeldung

Hat jemand eine Idee wo das Problem liegt? Es wurden seit dem letzten Import KB5005623, KB5005607, KB5005094 und KB5005099 installiert.

Danke

Michael

Content-ID: 1365533367

Url: https://administrator.de/forum/exchange-2013-nimmt-letsencrypt-zertifikat-nicht-mehr-an-1365533367.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

NordicMike
NordicMike 08.10.2021 um 08:10:02 Uhr
Goto Top
Ein spezieller RPC-Fehler ist auf Server XXXXXXX aufgetreten: Die Quelldaten können nicht importiert werden, oder das falsche Kennwort wurde angegeben.

Versuche es mal auf dem Server selbst ohne RPC, wenn das funktioniert, hast du schon mal die richtige Richtung gefunden.
MGS276
MGS276 08.10.2021 um 08:18:27 Uhr
Goto Top
Hallo Mike,

ich habe es über das Webfrontend probiert - und auch direkt auf dem Server in der Powershell (das ist der Code im Post) - da kommt jeweils die selbe Fehlermeldung.
Auf dem Server bin ich zwar über RPC - aber ausgeführt wird es dann lokal.
Ich habe auch eine Freigabe auf dem Exchangeserver getestet - damit er nicht auf einen anderen Server zugreifen muss.

Michael
MGS276
MGS276 08.10.2021 um 08:23:27 Uhr
Goto Top
Bin jetzt zur Sicherheit über den Hyper-V-Manger auf den Server - also nicht mit RDP. Selber Fehler.
NordicMike
NordicMike 08.10.2021 um 09:04:48 Uhr
Goto Top
Wenn du es lokal versuchst, darf nicht "-Server XXXXXXX" als Option dabei sein, sonst nimmt er wieder das RPC dafür her. Sobald du es ohne RPC ausgeführt hast, muss es entweder gelingen, oder er zeigt einen neuen Fehler an, der mehr Details ausspuckt, als das RPC Protokoll. Das RPC Protokoll sagt nur aus, dass "etwas nicht geklappt hat", aber nicht, was...
MGS276
MGS276 08.10.2021 um 09:15:00 Uhr
Goto Top
Leider doch die gleiche Fehlermeldung:

[PS] C:\Windows\system32>Import-ExchangeCertificate -FileName "\\XXXXXX\yyyyyy\zert15.p12" -Password (ConvertTo-SecureString -String 'XXXX' -AsPlainText -Force)  
Ein spezieller RPC-Fehler ist auf Server XXXXXX aufgetreten: Die Quelldaten können nicht importiert werden, oder das
falsche Kennwort wurde angegeben.
    + CategoryInfo          : ReadError: (:) [Import-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=XXXXXX,RequestId=4e72bef5-093d-4baa-b182-180adcc4cfd8,TimeStamp=08.10.2021 07:1
   3:35] [FailureCategory=Cmdlet-InvalidOperationException] D4BB6B73,Microsoft.Exchange.Management.SystemConfiguratio
  nTasks.ImportExchangeCertificate
    + PSComputerName        : XXXXXX
NordicMike
NordicMike 08.10.2021 um 09:21:38 Uhr
Goto Top
Dann mag er wirklich die Datei nicht oder es ist ein Passwort vergeben worden.

Ich habe es mal mit unserem Import-ExchangeCertificate verglichen, wir importieren eine .pfx
MGS276
MGS276 08.10.2021 um 09:25:31 Uhr
Goto Top
Jo - pfx und p12 ist das gleiche - kann man so oder so benennen. Es ist schon der 15. Import den wir so machen wollen - und der erste der nicht funktioniert.
Werde das Zertifikat nochmal erstellen - evtl. ist da wirklich was schief gegangen. Sonst fällt mir auch nix ein außer ggf. die KBs wieder zu deinstallieren....
NordicMike
NordicMike 08.10.2021 um 09:30:05 Uhr
Goto Top
Klicke die .p12 Datei mit der rechten Maustaste an und gehe dann auf "öffnen", also kein Doppelklick um sie zu öffnen. Dann solltest du den Inhalt sehen, schau ob alles passt, "ausgestellt für", "ausgestellt von: R3", "datum von/bis", kontrolliere das Datum vom Server in seiner Taskleiste...
MGS276
MGS276 08.10.2021 um 09:35:15 Uhr
Goto Top
Nutze dafür KeyStoreExplorer - und da sieht es aus wie alle anderen vorher auch (bis eben auf das Ablaufdatum beim Zertifikat)
zert
NordicMike
NordicMike 08.10.2021 um 09:40:12 Uhr
Goto Top
Ich kenne den Explorer nicht, aber, ist das Vorhängeschloss nicht ein Symbol, dass ein Passwort vergeben wurde?
NordicMike
NordicMike 08.10.2021 aktualisiert um 09:43:31 Uhr
Goto Top
Vergleiche es mal im Explorer mit einem älteren Zertifikat, das funktioniert hat. Ist die erste Zeile das Zertifikat, das vorher drinnen war? Das sieht von den Symbolen her ganz anders aus...
MGS276
MGS276 08.10.2021 um 09:50:11 Uhr
Goto Top
Es ist ja der Private Key dabei -und ja da ist ein Passwort drin
Sieht bei älteren genau so aus..

Ich werde jetzt mal versuchen ein altes (das vorletzte) Zertifikat zu importieren - wenn das auch nicht geht hat sich am System was geändert - wenn es geht dann liegts am Zertifikat...
NordicMike
NordicMike 08.10.2021 um 09:53:40 Uhr
Goto Top
Mit Passwort kann er es doch gar nicht importieren bzw kannst du das beim Import-ExchangeCertificate mit geben:

Import-ExchangeCertificate
[-Password <SecureString>]
MGS276
MGS276 08.10.2021 um 09:57:16 Uhr
Goto Top
Also - altes funktioniert. Dann werde ich das Zertifikat bei Letsencrypt nochmal komplett neu erstellen. Wobei es im Apache2 und auf der Sophos XG ohne Probleme funktioniert.
MGS276
MGS276 08.10.2021 um 10:20:55 Uhr
Goto Top
Zitat von @NordicMike:

Mit Passwort kann er es doch gar nicht importieren bzw kannst du das beim Import-ExchangeCertificate mit geben:

Import-ExchangeCertificate
[-Password <SecureString>]

Doch - ist ja auch im Script drin... (Passwort mit XXXX ersetzt)
MGS276
Lösung MGS276 08.10.2021 um 10:32:21 Uhr
Goto Top
Also - habe das pfx nicht mit dem Tool sondern auf der Konsole erstellt:
openssl pkcs12 -export -out zertxX.pfx -inkey privateXX.key -in certXX.pem  
Damit hat dann der Import geklappt - liegt dann wohl an dem KeyStoreExplorer...

Vielen Dank für die Hilfe!