37958
Nov 15, 2021, updated at 08:12:29 (UTC)
9209
8
0
Exchange 2016 Zertifikat aus Verlängerung tauschen
Hi,
Ich habe einen Exchange 2016 übernehmen dürfen. Dort läuft bald das Zertifikat aus (Wildcard-Zertifikat). Das neue Zertifikat habe ich über die ECP-Oberfläche beantragt, bezahlt, bekommen und importiert.
Ich kenne die Anleitung von https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/ .
Mir ist noch nicht ganz klar, wie Outlook, das OWA und die Andoids/iPhones das Zertifikat benutzen. IMAP und POP wird ja ganz gut beschrieben.
Ich kann das Zertifikat folgenden Diensten über die Oberfläche zuweisen:
Siehe 1_Serverzertifikate
Es erscheint in der ECP-Oberfläche folgendes:
Mein neues WildCardZertifikat
das alte Zertifikat
selbstsignierte Zertifikat zur Installation damals.
Folgende Dienste sind darauf gebunden, was ich aber nicht verstehe, da bei Aufruf der ECP und OWA Seite das "richtige" Zertifikat angezeigt wird. Bei dem selbstsignierten Zertifikat stehen ja auch noch zugewiesene Dienste drauf. Daher wird das für mich irgendwie merkwürdig.
Kann mir da mal jemand aus dem Zertifikatschaos raushelfen? Mein Ziel wäre es, das neue Zertifikat für alle Dienste des Exchanges zur Verfügung zu stellen.
Grüße
Heinz
Ich habe einen Exchange 2016 übernehmen dürfen. Dort läuft bald das Zertifikat aus (Wildcard-Zertifikat). Das neue Zertifikat habe ich über die ECP-Oberfläche beantragt, bezahlt, bekommen und importiert.
Ich kenne die Anleitung von https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/ .
Mir ist noch nicht ganz klar, wie Outlook, das OWA und die Andoids/iPhones das Zertifikat benutzen. IMAP und POP wird ja ganz gut beschrieben.
Ich kann das Zertifikat folgenden Diensten über die Oberfläche zuweisen:
Siehe 1_Serverzertifikate
Es erscheint in der ECP-Oberfläche folgendes:
Mein neues WildCardZertifikat
das alte Zertifikat
selbstsignierte Zertifikat zur Installation damals.
Folgende Dienste sind darauf gebunden, was ich aber nicht verstehe, da bei Aufruf der ECP und OWA Seite das "richtige" Zertifikat angezeigt wird. Bei dem selbstsignierten Zertifikat stehen ja auch noch zugewiesene Dienste drauf. Daher wird das für mich irgendwie merkwürdig.
Kann mir da mal jemand aus dem Zertifikatschaos raushelfen? Mein Ziel wäre es, das neue Zertifikat für alle Dienste des Exchanges zur Verfügung zu stellen.
Grüße
Heinz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1507564034
Url: https://administrator.de/contentid/1507564034
Printed on: May 8, 2024 at 20:05 o'clock
8 Comments
Latest comment
Wenn mehrere Zertifikate konfiguriert sind, sucht sich Exchange für den SMTP Mailfluss ein zur angefragten URL passendes raus. Die URL konfigurierst du im Connector.
Alles was auf Port 443 ankommt wird über den IIS konfiguriert, da kannst du unter Bindungen einfach das neue auswählen, iisreset durchführen dann wird es benutzt. Solltest du dann für Default Web Site und Exchange Back End machen.
Die selbst signierten bei der Installation werden in der Regel nur für interne Geschichten wie z.B. den IIS Management Service verwendet, da sie nicht die externe URL enthalten, also z.B. mail.contoso.com.
Das abgelaufene kannst du beizeiten dann entfernen, dann wird es logischerweise auch nicht mehr verwendet.
Alles was auf Port 443 ankommt wird über den IIS konfiguriert, da kannst du unter Bindungen einfach das neue auswählen, iisreset durchführen dann wird es benutzt. Solltest du dann für Default Web Site und Exchange Back End machen.
Die selbst signierten bei der Installation werden in der Regel nur für interne Geschichten wie z.B. den IIS Management Service verwendet, da sie nicht die externe URL enthalten, also z.B. mail.contoso.com.
Das abgelaufene kannst du beizeiten dann entfernen, dann wird es logischerweise auch nicht mehr verwendet.
1
Hallo,
Kann ich nur zustimmen.
Dazu möchte ich noch anmerken, dass auch das Zertifikat an der Firewall - den Webservern usw. - getauscht werden muß, wenn diese vorhanden sind.
Grüße
Ralf
Zitat von @rzlbrnft:
Wenn mehrere Zertifikate konfiguriert sind, sucht sich Exchange für den SMTP Mailfluss ein zur angefragten URL passendes raus. Die URL konfigurierst du im Connector.
Alles was auf Port 443 ankommt wird über den IIS konfiguriert, da kannst du unter Bindungen einfach das neue auswählen, iisreset durchführen dann wird es benutzt. Solltest du dann für Default Web Site und Exchange Back End machen.
Die selbst signierten bei der Installation werden in der Regel nur für interne Geschichten wie z.B. den IIS Management Service verwendet, da sie nicht die externe URL enthalten, also z.B. mail.contoso.com.
Das abgelaufene kannst du beizeiten dann entfernen, dann wird es logischerweise auch nicht mehr verwendet.
Wenn mehrere Zertifikate konfiguriert sind, sucht sich Exchange für den SMTP Mailfluss ein zur angefragten URL passendes raus. Die URL konfigurierst du im Connector.
Alles was auf Port 443 ankommt wird über den IIS konfiguriert, da kannst du unter Bindungen einfach das neue auswählen, iisreset durchführen dann wird es benutzt. Solltest du dann für Default Web Site und Exchange Back End machen.
Die selbst signierten bei der Installation werden in der Regel nur für interne Geschichten wie z.B. den IIS Management Service verwendet, da sie nicht die externe URL enthalten, also z.B. mail.contoso.com.
Das abgelaufene kannst du beizeiten dann entfernen, dann wird es logischerweise auch nicht mehr verwendet.
Kann ich nur zustimmen.
Dazu möchte ich noch anmerken, dass auch das Zertifikat an der Firewall - den Webservern usw. - getauscht werden muß, wenn diese vorhanden sind.
Grüße
Ralf
Servus,
danke für die Rückmeldungen.
Ich habe das jetzt mal über die Powershell aktiviert.
Das neue Zertifikat wird auch über die richtigen Ports richtig ausgeliefert.
Aber die GUI zeigt was anderes an, als ich in der Oberfläche angezeigt bekomme. Ist das ein Bug mit den WildcardZertifikaten und Windows 2019 / Exchange 2016?
Grüße
Heinz
danke für die Rückmeldungen.
Ich habe das jetzt mal über die Powershell aktiviert.
Das neue Zertifikat wird auch über die richtigen Ports richtig ausgeliefert.
Aber die GUI zeigt was anderes an, als ich in der Oberfläche angezeigt bekomme. Ist das ein Bug mit den WildcardZertifikaten und Windows 2019 / Exchange 2016?
Grüße
Heinz
Hallo,
was zeigt denn die GUI falsch an?
Grüße
Ralf
was zeigt denn die GUI falsch an?
Grüße
Ralf
Wird doch genau so angezeigt wie du es wolltest. Das Zertifikat ist für SMTP und IIS zugewiesen.
Das heißt aber beim IIS nur, das es verfügbar ist, nicht das es auch ausgewählt ist für die Default Website.
Das heißt aber beim IIS nur, das es verfügbar ist, nicht das es auch ausgewählt ist für die Default Website.
Hi,
Du hast Recht. Ich hab mir die Ausgabe der Powershell angesehen, die Zuweisung des Zertifikates zu den Diensten passt.
In der Powershell hatte ich die Services iis,smtp,pop,imap bei der Zuweisung reingeschrieben.
Das ging dann ohne Probleme durch.
Jetzt weiss ich aber nicht, welches Zertifikat auf pop und imap hängt, oder? Dachte ich sehe das über die GUI/Powershell.
Grüße
Heinz
Du hast Recht. Ich hab mir die Ausgabe der Powershell angesehen, die Zuweisung des Zertifikates zu den Diensten passt.
In der Powershell hatte ich die Services iis,smtp,pop,imap bei der Zuweisung reingeschrieben.
Das ging dann ohne Probleme durch.
Jetzt weiss ich aber nicht, welches Zertifikat auf pop und imap hängt, oder? Dachte ich sehe das über die GUI/Powershell.
Grüße
Heinz
Sind die Dienste denn aktiviert und in Gebrauch?
Bei uns nutzt z.B. keiner IMAP oder Pop, deswegen sind die gar nicht gestartet.
Wenn du es benutzt kannst du die Häkchen natürlich auch über die Gui setzen, für POP und IMAP darf aber immer nur ein Zertifikat aktiv sein.
Bei uns nutzt z.B. keiner IMAP oder Pop, deswegen sind die gar nicht gestartet.
Wenn du es benutzt kannst du die Häkchen natürlich auch über die Gui setzen, für POP und IMAP darf aber immer nur ein Zertifikat aktiv sein.
