Exchange 2016 Zertifikat aus Verlängerung tauschen

krischeu
Goto Top
Hi,
Ich habe einen Exchange 2016 übernehmen dürfen. Dort läuft bald das Zertifikat aus (Wildcard-Zertifikat). Das neue Zertifikat habe ich über die ECP-Oberfläche beantragt, bezahlt, bekommen und importiert.

Ich kenne die Anleitung von https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/ .

Mir ist noch nicht ganz klar, wie Outlook, das OWA und die Andoids/iPhones das Zertifikat benutzen. IMAP und POP wird ja ganz gut beschrieben.
Ich kann das Zertifikat folgenden Diensten über die Oberfläche zuweisen:
Siehe 1_Serverzertifikate

Es erscheint in der ECP-Oberfläche folgendes:
Mein neues WildCardZertifikat
das alte Zertifikat
selbstsignierte Zertifikat zur Installation damals.

Folgende Dienste sind darauf gebunden, was ich aber nicht verstehe, da bei Aufruf der ECP und OWA Seite das "richtige" Zertifikat angezeigt wird. Bei dem selbstsignierten Zertifikat stehen ja auch noch zugewiesene Dienste drauf. Daher wird das für mich irgendwie merkwürdig.

Kann mir da mal jemand aus dem Zertifikatschaos raushelfen? Mein Ziel wäre es, das neue Zertifikat für alle Dienste des Exchanges zur Verfügung zu stellen.

Grüße

Heinz
1_serverzertifikate
2_dienste für das zertifikat
3_dienste altes zertifikat
4_dienste selbstsigniertes zertifikat

Content-Key: 1507564034

Url: https://administrator.de/contentid/1507564034

Ausgedruckt am: 15.08.2022 um 17:08 Uhr

Mitglied: rzlbrnft
rzlbrnft 15.11.2021 aktualisiert um 13:26:47 Uhr
Goto Top
Wenn mehrere Zertifikate konfiguriert sind, sucht sich Exchange für den SMTP Mailfluss ein zur angefragten URL passendes raus. Die URL konfigurierst du im Connector.
Alles was auf Port 443 ankommt wird über den IIS konfiguriert, da kannst du unter Bindungen einfach das neue auswählen, iisreset durchführen dann wird es benutzt. Solltest du dann für Default Web Site und Exchange Back End machen.

Die selbst signierten bei der Installation werden in der Regel nur für interne Geschichten wie z.B. den IIS Management Service verwendet, da sie nicht die externe URL enthalten, also z.B. mail.contoso.com.

Das abgelaufene kannst du beizeiten dann entfernen, dann wird es logischerweise auch nicht mehr verwendet.
Mitglied: wecanIT
wecanIT 16.11.2021 um 09:16:03 Uhr
Goto Top
Hallo,


Zitat von @rzlbrnft:

Wenn mehrere Zertifikate konfiguriert sind, sucht sich Exchange für den SMTP Mailfluss ein zur angefragten URL passendes raus. Die URL konfigurierst du im Connector.
Alles was auf Port 443 ankommt wird über den IIS konfiguriert, da kannst du unter Bindungen einfach das neue auswählen, iisreset durchführen dann wird es benutzt. Solltest du dann für Default Web Site und Exchange Back End machen.

Die selbst signierten bei der Installation werden in der Regel nur für interne Geschichten wie z.B. den IIS Management Service verwendet, da sie nicht die externe URL enthalten, also z.B. mail.contoso.com.

Das abgelaufene kannst du beizeiten dann entfernen, dann wird es logischerweise auch nicht mehr verwendet.

Kann ich nur zustimmen.

Dazu möchte ich noch anmerken, dass auch das Zertifikat an der Firewall - den Webservern usw. - getauscht werden muß, wenn diese vorhanden sind.

Grüße
Ralf
Mitglied: krischeu
krischeu 18.11.2021 um 10:39:05 Uhr
Goto Top
Servus,
danke für die Rückmeldungen.
Ich habe das jetzt mal über die Powershell aktiviert.
Das neue Zertifikat wird auch über die richtigen Ports richtig ausgeliefert.

Aber die GUI zeigt was anderes an, als ich in der Oberfläche angezeigt bekomme. Ist das ein Bug mit den WildcardZertifikaten und Windows 2019 / Exchange 2016?

Grüße
Heinz
Mitglied: wecanIT
wecanIT 18.11.2021 um 11:46:38 Uhr
Goto Top
Hallo,

was zeigt denn die GUI falsch an?

Grüße
Ralf
Mitglied: krischeu
krischeu 18.11.2021 um 11:57:22 Uhr
Goto Top
1
Mitglied: rzlbrnft
rzlbrnft 18.11.2021 um 16:07:26 Uhr
Goto Top
Wird doch genau so angezeigt wie du es wolltest. Das Zertifikat ist für SMTP und IIS zugewiesen.
Das heißt aber beim IIS nur, das es verfügbar ist, nicht das es auch ausgewählt ist für die Default Website.

unbenannt
Mitglied: krischeu
krischeu 19.11.2021 um 08:31:04 Uhr
Goto Top
Hi,
Du hast Recht. Ich hab mir die Ausgabe der Powershell angesehen, die Zuweisung des Zertifikates zu den Diensten passt.

In der Powershell hatte ich die Services iis,smtp,pop,imap bei der Zuweisung reingeschrieben.
Das ging dann ohne Probleme durch.

Jetzt weiss ich aber nicht, welches Zertifikat auf pop und imap hängt, oder? Dachte ich sehe das über die GUI/Powershell.

Grüße
Heinz
Mitglied: rzlbrnft
rzlbrnft 19.11.2021 aktualisiert um 11:08:49 Uhr
Goto Top
Sind die Dienste denn aktiviert und in Gebrauch?
Bei uns nutzt z.B. keiner IMAP oder Pop, deswegen sind die gar nicht gestartet.
Wenn du es benutzt kannst du die Häkchen natürlich auch über die Gui setzen, für POP und IMAP darf aber immer nur ein Zertifikat aktiv sein.