bensonhedges
Goto Top

Exchange 2016 Zertifikat für SMTP wird nicht angenommen

Hallo zusammen,

wir haben ein Zertifikat verlängern lassen und via Management Shell eingebunden:
Enable-ExchangeCertificate -Thumbprint DF23C2FEE77D7B4C65DA3FC2B66896910E1CCF9A -Services "IIS, SMTP, POP, IMAP"  

Es gab keine Fehlermeldung beim Einbinden des Zertifikats.

Mache ich nun ein
Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List

wird alles soweit korrekt angezeigt, bei Services taucht aber SMTP nicht auf:
Services           : IMAP, POP, IIS

Ein
Get-ExchangeCertificate | FT Name,Services

gibt folgendes aus:
Name         Services
----         --------
       IMAP, POP, IIS
     SMTP, Federation
                 None
                  IIS
                 None

Um den EAC kann ich den Haken bei Dienste/SMTP für das Zertifikat setzen, allerdings wird es nicht übernommen (kommt auch keine Fehlermeldung).
Es existiert noch ein self-signed Zertifikat "Exchange Delegation Federation", dies ist gebunden an die Dienste SMTP und Federation.
Ich habe schon versucht, hier die SMTP-Bindung aufzuheben, via EAC ist der Dienste zwar mit dem Haken gesetzt, aber grau hinterlegt, so dass ich diesen
nicht rausnehmen kann.

Hat jemand eine Idee, wie ich das Zertifikat für SMTP korrekt setzen kann?

Lieben Dank im Voraus!

Der
Benson

Content-ID: 652488

Url: https://administrator.de/forum/exchange-2016-zertifikat-fuer-smtp-wird-nicht-angenommen-652488.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

NetzwerkDude
NetzwerkDude 15.02.2021 um 12:58:43 Uhr
Goto Top
Versuch nochmal
Enable-ExchangeCertificate -Thumbprint DF23C2FEE77D7B4C65DA3FC2B66896910E1CCF9A -Services "SMTP"  
und schau dann im Windows Eventlog ob Fehler aufgetreten sind
--> Falls ein Antivirus auf dem Server ist, bockt der gerne bei sowas rum
bensonhedges
bensonhedges 15.02.2021 um 13:16:37 Uhr
Goto Top
Hi,

habe den Befehl nochmals abgesetzt, im Exchange Log sehe ich keine Fehler:

Protokollname: MSExchange Management
Quelle:        MSExchange CmdletLogs
Datum:         15.02.2021 13:09:51
Ereignis-ID:   1
Aufgabenkategorie:General
Ebene:         Informationen
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      EXCH-01.meinedomain.local
Beschreibung:
Cmdlet suceeded. Cmdlet Enable-ExchangeCertificate, parameters -Thumbprint "DF23C2FEE77D7B4C65DA3FC2B66896910E1CCF9A" -Services "SMTP".  

Im Einsatz in der Trend Micro Worry Free Business - Virenscanner. Ich werde heute den Trend Micro mal temporär deaktivieren und
wiederhole den Befehl dann nochmals.

Gruß,
Benson
MichaelSch83
MichaelSch83 15.02.2021 um 13:43:41 Uhr
Goto Top
Hallo,

Ich habe bei einem System das gleiche Problem, nur war und ist es bei mir mir ein kosmetisches Problem. Es wird nicht angezeigt das das Zertifikat genutzt wird, wenn ich aber eine SMTP Kommunikation aufbaue sehe ich das das richtige verwendet wird.

Welches Cu hast du installiert? Welcher CN wird bei deinem Zertifikat angezeigt! Ich würde mich freuen wenn hier einer eine Lösung hat face-smile

Mit freundlichen Grüßen

Michael Scherr
goscho
goscho 16.02.2021 um 09:07:29 Uhr
Goto Top
Moin
Zitat von @bensonhedges:
Im Einsatz in der Trend Micro Worry Free Business - Virenscanner. Ich werde heute den Trend Micro mal temporär deaktivieren und
Gibt es einen Grund, auf einem reinen Exchange-Server eine AV-Software zu installieren?
Ich meine natürlich nicht eine AV für Exchange sondern für das System.


Auf deinen Beitrag hin habe ich mal ein paar von mir betreute Exchange 2016 angeschaut.
Die Zertifikate kommen von Let's Encrypt und werden automatisch alle paar Wochen verlängert und zugewiesen.
Jetzt habe ich gesehen, dass auf keinem der 4 geprüften Server dieses Zertifikat für SMTP zugewiesen war.
Trotzdem gab es keinerlei Probleme in der Mailkommunikation.
Ich habe die jetzt manuell im EAC zugewiesen und gut.
bensonhedges
bensonhedges 16.02.2021 um 17:37:38 Uhr
Goto Top
Hallo,

ich hoffe, dass es ein kosmetisches Problem ist.

Aktuell im Einsatz:
CU16
Edition: Standard
AdminDisplayVersion : Version 15.1 (Build 2044.4)

Wie teste ich am einfachsten, ob bei SMTP das korrekte Zertifikat genutzt wird?

An Trend Micro lag es leider nicht...

Gruß,
Benson
bensonhedges
bensonhedges 16.02.2021 um 17:39:27 Uhr
Goto Top
Hmm... Wenn die SMTP Dienste im EAC zugewiesen worden sind, sieht man dann auch tatsächlich den "Haken" in der GUI?
MichaelSch83
MichaelSch83 16.02.2021, aktualisiert am 17.02.2021 um 06:38:09 Uhr
Goto Top
Hallo,

Ich sehe den Haken bei mir weder in der GUI noch per Powershell. Wenn du mir deine Mail-Adresse sagst kann ich dir eine Mail schicken und schauen welches Zertifikat an deinem smtp Dienst gebunden ist (gern auch per PM).

Oder du schaust in deinen SMTP Logs welche Zertifikate du aushandelst (sofern du das Logging aktiviert hast).

Mit freundlichen Grüßen

Micha
NetzwerkDude
NetzwerkDude 17.02.2021 aktualisiert um 08:27:09 Uhr
Goto Top
z.B: mit dem tool nmap
nmap <server-ip oder FQDN> -p 25 --script=ssl-cert
bensonhedges
bensonhedges 09.03.2021 um 08:41:11 Uhr
Goto Top
Hallo,

mittlerweile ist der CU19 inkl. KB5000871 installiert.

Das SAN Zertifikat ist leider nicht an SMTP gebunden:

Certificate: 
		FriendlyName: CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US
		Thumbprint: DF23C2FEE77D7B4C65DA3348343410E1CCF9A
		Lifetime in days: 358
		Key size: 2048
		Bound to services: IMAP, POP, IIS
		Current Auth Certificate: False
		SAN Certificate: True
		Namespaces: 
			mobil.domain.de
			apps.domain.de
			autodiscover.domain.de
			exchange-1.domain.de
	Certificate: 
		FriendlyName: Exchange Delegation Federation
		Thumbprint: EF24F270E323232616F1B4EB0CDDF6031368436AE
		Lifetime in days: 1414
		Key size: 2048
		Bound to services: SMTP, Federation
		Current Auth Certificate: False
		SAN Certificate: False
		Namespaces: 
			Federation

Was kann man machen, damit ich das SAN-Zertifikat korrekt via SMTP angebunden wird?

Danke für Eure Ratschläge face-smile

Grüße,
der Benson
Harley-Mike
Harley-Mike 30.06.2022 um 11:34:43 Uhr
Goto Top
Hi, habe nun auch das Problem dass ich das SAN-Zertifikat nicht an SMTP binden kann.

Hast Du eine Lösung finden können?

Danke Mike