benjo83
Goto Top

Exchange 2019 ECP meldet abgelaufenes Zertifikat

Hallo zusammen,

auf unserem Exchange 2019 wurde das Serverzertifikat für die Dienste IMAP, POP3, IIS und SMTP getauscht. Das hat auch alles soweit geklappt, das alte Zertifikat wurde mit dem Befehl "Remove-ExchangeCertificate" entfernt. Mit "Get-ExchangeCertificate" werden auch nur noch gültige Zertifikate angezeigt. Wenn ich mich aber an der ECP einlogge, wird mir eine Warnung zu dem alten Zertifikat angezeigt, nämlich dass es abgelaufen ist.
Habe schon den www-Dienst auf dem Exchange neu gestartet, hat aber nichts gebracht. Diese Zertifikate sind noch drauf:

Thumbprint Services Subject
-------- -------
9AC8011390D9E77BB21B55015248EB847CBBF834 IP.WS.. CN=geschwärzt
23B7395ABC158AA2EBE26D8275B9E4E301328ED2 ....S.. CN=Microsoft Exchange Server Auth Certificate
506A0EC7614D579C0DCAFED25BD208FC0880C8DC ...W... CN=geschwärzt, O=Trend Micro ScanMail for Microsoft Exchange
AA797485B3B4F74020A13317625DB3E2B97BBE28 ...W... CN=geschwärzt
594EBC7C14169782920DDCF60398DD5BEEF9C428 ....... CN=WMSvc-SHA2-WIN-3PERC6IESIE

Da wo geschwärzt steht, würde die richtige URL bzw. der richtige Servername stehen.

Hatte jemand schon mal das Problem?

Grüße
BenJO83

Content-ID: 5478546890

Url: https://administrator.de/forum/exchange-2019-ecp-meldet-abgelaufenes-zertifikat-5478546890.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

em-pie
em-pie 19.01.2023 aktualisiert um 11:57:32 Uhr
Goto Top
Moin,

im IIS unter den Bindings muss du das Neue Zertifikat auch noch definieren face-wink

https://www.ssl.com/how-to/binding-in-iis-10/
Speziell Punkt 8 ist da wichtig.
radiogugu
Lösung radiogugu 19.01.2023 um 11:59:40 Uhr
Goto Top
Moin.

Ein IIS Neustart in administrativer CMD mittels iisreset soltle auch nicht fehlen.

Gruß
Marc
BenJo83
BenJo83 19.01.2023 um 12:07:02 Uhr
Goto Top
Hallo zusammen, danke für die schnelle Antwort. Bindings habe ich bereits gecheckt, waren richtig. IISreset habe ich auch schon gemacht, hat nicht geholfen.
em-pie
em-pie 19.01.2023 um 12:11:51 Uhr
Goto Top
Und wenn du das ecp öffnest, landest du auch direkt am Exchange und nicht an einem vorgelagerten Proxy?

Zu prüfen, wenn du am Exchange selbst mal https://localost/ecp aufrufst
BenJo83
BenJo83 19.01.2023 um 12:22:57 Uhr
Goto Top
Jau, direkt auf dem Exchange. Die URL ist auf unserem internen DNS umgeleitet auf den Exchange.

Aber ist den www-Dienst neustarten nicht das gleiche wie der IISReset Befehl? Weil es scheint, dass der doch geholfen hat. Beim neustarten des www Dienst hatte ich auch gedacht, allerdings kam die Warnung nach 5 Minuten wieder. Aber jetzt kommt aktuell keine mehr....
BenJo83
BenJo83 19.01.2023 um 12:40:18 Uhr
Goto Top
UPDATE: Die Meldung ist wieder da
radiogugu
radiogugu 19.01.2023 aktualisiert um 13:22:28 Uhr
Goto Top
Den Exchange vielleicht einmal in Gänze neu starten.

Welchen Patchstand hat das "Gerät"?

Gibt es noch einen weiteren Exchange?

Gruß
Marc
em-pie
em-pie 19.01.2023 aktualisiert um 14:16:09 Uhr
Goto Top
Ich glaube ja, dass das Binding am IIS nicht richtig ist.

log dich mal am Exchange-Server ein, starte die Powershell und lass da folgendes Script drauf los:
Import-Module -Name WebAdministration

Get-ChildItem -Path IIS:SSLBindings | ForEach-Object -Process `
{
    if ($_.Sites)
    {
        $certificate = Get-ChildItem -Path CERT:LocalMachine/My |
            Where-Object -Property Thumbprint -EQ -Value $_.Thumbprint

        [PsCustomObject]@{
            
            Sites                        = $_.Sites.Value
            IPAddress                    = $_.IPAddress
            Port                         = $_.Port
            CertificateFriendlyName      = $certificate.FriendlyName
            CertificateDnsNameList       = $certificate.DnsNameList
            CertificateNotAfter          = $certificate.NotAfter
            CertificateIssuer            = $certificate.Issuer
            
        }
    }
}

Quelle: https://techstronghold.com/scripting/@rudolfvesely/powershell-script-to- ...
BenJo83
BenJo83 19.01.2023 um 14:43:12 Uhr
Goto Top
@radiogugu
Ja ist nur ein Exchange, CU12 Patchstand April 2022. Es fehlen 5 Updates für das CU 12 bei uns

@em-pie
Bei dem Scripot bekomme ich zweimal Default-Website (einmal 0.0.0.0 und einmal 127.0.0.1) aber beide mit dem richtigen Zertifikat und einmal Exchange-Backend auch mit dem richtigen Zertifikat
ArnoNymous
ArnoNymous 19.01.2023 um 16:36:08 Uhr
Goto Top
Zitat von @BenJo83:

@radiogugu
Ja ist nur ein Exchange, CU12 Patchstand April 2022. Es fehlen 5 Updates für das CU 12 bei uns


Oha.
In letzter Zeit mal ein paar IT-News gelesen?
MysticFoxDE
MysticFoxDE 19.01.2023 um 20:55:37 Uhr
Goto Top
Moin @BenJo83,

Hallo zusammen, danke für die schnelle Antwort. Bindings habe ich bereits gecheckt, waren richtig. IISreset habe ich auch schon gemacht, hat nicht geholfen.

hast du ganz sicher die Bindings von beiden Webseiten (Default Web Site & Exchange Back End) geprüft?

Hast du auch das Authentifizierungszertifikat schon überprüft?

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | FL

Beste Grüsse aus BaWü
Alex
BenJo83
BenJo83 20.01.2023 um 08:28:37 Uhr
Goto Top
Guten morgen zusammen, ja was soll ich sagen heute morgen auf die Webseite gegangen, die Meldung ist weg. Server hat nicht neu gestartet, keine Ahnung was jetzt geholfen hat.
radiogugu
radiogugu 20.01.2023 um 10:37:05 Uhr
Goto Top
Zitat von @BenJo83:
Guten morgen zusammen, ja was soll ich sagen heute morgen auf die Webseite gegangen, die Meldung ist weg. Server hat nicht neu gestartet, keine Ahnung was jetzt geholfen hat.

Wahrscheinlich der Faktor Zeit.

Da sind die Exchange Dienste ja manchmal etwas "träge".

Es müsste neben dem "Gelöst"-Knopf noch einen "Wunderheilung"-Knopf geben face-smile

Also dann löse bitte den Thread an der Stelle @BenJo83 .

Gruß
Marc
ArnoNymous
ArnoNymous 27.01.2023 um 09:28:17 Uhr
Goto Top