Exchange 2016 Zertifikat für SMTP wird nicht angenommen

Hallo zusammen,

wir haben ein Zertifikat verlängern lassen und via Management Shell eingebunden:

Enable-ExchangeCertificate -Thumbprint DF23C2FEE77D7B4C65DA3FC2B66896910E1CCF9A -Services "IIS, SMTP, POP, IMAP"  

Es gab keine Fehlermeldung beim Einbinden des Zertifikats.

Mache ich nun ein

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List

wird alles soweit korrekt angezeigt, bei Services taucht aber SMTP nicht auf:

Services           : IMAP, POP, IIS

Ein

Get-ExchangeCertificate | FT Name,Services

gibt folgendes aus:

Name         Services
----         --------
       IMAP, POP, IIS
     SMTP, Federation
                 None
                  IIS
                 None

Um den EAC kann ich den Haken bei Dienste/SMTP für das Zertifikat setzen, allerdings wird es nicht übernommen (kommt auch keine Fehlermeldung).
Es existiert noch ein self-signed Zertifikat "Exchange Delegation Federation", dies ist gebunden an die Dienste SMTP und Federation.
Ich habe schon versucht, hier die SMTP-Bindung aufzuheben, via EAC ist der Dienste zwar mit dem Haken gesetzt, aber grau hinterlegt, so dass ich diesen
nicht rausnehmen kann.

Hat jemand eine Idee, wie ich das Zertifikat für SMTP korrekt setzen kann?

Lieben Dank im Voraus!

Der
Benson

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 652488

Url: https://administrator.de/contentid/652488

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

10 Kommentare

Neuester Kommentar

Versuch nochmal

Enable-ExchangeCertificate -Thumbprint DF23C2FEE77D7B4C65DA3FC2B66896910E1CCF9A -Services "SMTP"  

und schau dann im Windows Eventlog ob Fehler aufgetreten sind
--> Falls ein Antivirus auf dem Server ist, bockt der gerne bei sowas rum

Hi,

habe den Befehl nochmals abgesetzt, im Exchange Log sehe ich keine Fehler:

Protokollname: MSExchange Management
Quelle:        MSExchange CmdletLogs
Datum:         15.02.2021 13:09:51
Ereignis-ID:   1
Aufgabenkategorie:General
Ebene:         Informationen
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      EXCH-01.meinedomain.local
Beschreibung:
Cmdlet suceeded. Cmdlet Enable-ExchangeCertificate, parameters -Thumbprint "DF23C2FEE77D7B4C65DA3FC2B66896910E1CCF9A" -Services "SMTP".  

Im Einsatz in der Trend Micro Worry Free Business - Virenscanner. Ich werde heute den Trend Micro mal temporär deaktivieren und
wiederhole den Befehl dann nochmals.

Gruß,
Benson

Hallo,

Ich habe bei einem System das gleiche Problem, nur war und ist es bei mir mir ein kosmetisches Problem. Es wird nicht angezeigt das das Zertifikat genutzt wird, wenn ich aber eine SMTP Kommunikation aufbaue sehe ich das das richtige verwendet wird.

Welches Cu hast du installiert? Welcher CN wird bei deinem Zertifikat angezeigt! Ich würde mich freuen wenn hier einer eine Lösung hat

Mit freundlichen Grüßen

Michael Scherr

Moin

Zitat von @bensonhedges:
Im Einsatz in der Trend Micro Worry Free Business - Virenscanner. Ich werde heute den Trend Micro mal temporär deaktivieren und

Gibt es einen Grund, auf einem reinen Exchange-Server eine AV-Software zu installieren?
Ich meine natürlich nicht eine AV für Exchange sondern für das System.

Auf deinen Beitrag hin habe ich mal ein paar von mir betreute Exchange 2016 angeschaut.
Die Zertifikate kommen von Let's Encrypt und werden automatisch alle paar Wochen verlängert und zugewiesen.
Jetzt habe ich gesehen, dass auf keinem der 4 geprüften Server dieses Zertifikat für SMTP zugewiesen war.
Trotzdem gab es keinerlei Probleme in der Mailkommunikation.
Ich habe die jetzt manuell im EAC zugewiesen und gut.

Hallo,

ich hoffe, dass es ein kosmetisches Problem ist.

Aktuell im Einsatz:
CU16
Edition: Standard
AdminDisplayVersion : Version 15.1 (Build 2044.4)

Wie teste ich am einfachsten, ob bei SMTP das korrekte Zertifikat genutzt wird?

An Trend Micro lag es leider nicht...

Gruß,
Benson

Hmm... Wenn die SMTP Dienste im EAC zugewiesen worden sind, sieht man dann auch tatsächlich den "Haken" in der GUI?

Hallo,

Ich sehe den Haken bei mir weder in der GUI noch per Powershell. Wenn du mir deine Mail-Adresse sagst kann ich dir eine Mail schicken und schauen welches Zertifikat an deinem smtp Dienst gebunden ist (gern auch per PM).

Oder du schaust in deinen SMTP Logs welche Zertifikate du aushandelst (sofern du das Logging aktiviert hast).

Mit freundlichen Grüßen

Micha

z.B: mit dem tool nmap

nmap <server-ip oder FQDN> -p 25 --script=ssl-cert

Hallo,

mittlerweile ist der CU19 inkl. KB5000871 installiert.

Das SAN Zertifikat ist leider nicht an SMTP gebunden:

Certificate: 
		FriendlyName: CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US
		Thumbprint: DF23C2FEE77D7B4C65DA3348343410E1CCF9A
		Lifetime in days: 358
		Key size: 2048
		Bound to services: IMAP, POP, IIS
		Current Auth Certificate: False
		SAN Certificate: True
		Namespaces: 
			mobil.domain.de
			apps.domain.de
			autodiscover.domain.de
			exchange-1.domain.de
	Certificate: 
		FriendlyName: Exchange Delegation Federation
		Thumbprint: EF24F270E323232616F1B4EB0CDDF6031368436AE
		Lifetime in days: 1414
		Key size: 2048
		Bound to services: SMTP, Federation
		Current Auth Certificate: False
		SAN Certificate: False
		Namespaces: 
			Federation

Was kann man machen, damit ich das SAN-Zertifikat korrekt via SMTP angebunden wird?

Danke für Eure Ratschläge

Grüße,
der Benson