kalma73
Goto Top

Exchange 2019 Zertifikat was 2 Jahre gültig ist lauft ab

Hallo,

ich habe ein Problem, Ende letzter Woche hat Outlook die Erinnerung angezeigt das die nächsten Tage das Exchange Zertifikat ausläuft, was vor 2 Jahren von meiner Domain Zertifizierungsstelle ausgestellt wurde.

Leider ist ja das Erneuern des Zertifikates nach CU12 auf Exchange 2019 nicht mehr möglich.
Geht ja alles nur noch über die PowerShell vom Exchange.
Habe mich auch schon im Netz schlau gemacht, aber irgendwie kapiere ich nicht wie und was ich da machen soll.

Kann man jemand da vieleicht helfen?

Wäre über Hilfe erfreut.

Gruß

Kalma

Content-ID: 669109

Url: https://administrator.de/contentid/669109

Ausgedruckt am: 30.10.2024 um 20:10 Uhr

catrell
catrell 29.10.2024 aktualisiert um 13:01:26 Uhr
Goto Top
Moin.
Neuen CSR generieren, CSR bei der CA einreichen und das generierte Cert zurück auf den EX importieren und den Diensten zuweisen, hier eigentlich idiotensicher Schritt-für-Schritt erklärt
Exchange Zertifikate per Shell anfordern und importieren

Gruß catrell
ukulele-7
ukulele-7 29.10.2024 um 13:48:48 Uhr
Goto Top
So richtig idiotensicher dann aber auch wieder nicht. Am besten halte dich an den Pfad für die Zertifikatsdatei aus der Anleitung. Aus anderen Pfaden scheitert der Import oft.
catrell
catrell 29.10.2024 aktualisiert um 14:07:33 Uhr
Goto Top
Am besten halte dich an den Pfad für die Zertifikatsdatei aus der Anleitung. Aus anderen Pfaden scheitert der Import oft.
Naja, das der Account der das Zertifikat importiert auf den Pfad Leserechte braucht sollte ja klar sein. Das Ding wird im Tutorial ja ausschließlich per "Get-Content" eingelesen, ergo braucht der aktuell verwendete Benutzer Zugriff auf den Pfad. Ob das nun "C:\install" ist oder "D:\Zertifikate" ist dann Jacke wie Hose.
elix2k
elix2k 29.10.2024 um 14:07:31 Uhr
Goto Top
Ich mache das immer über den IIS. Klappt immer wunderbar.
Kalma73
Kalma73 29.10.2024 um 14:29:59 Uhr
Goto Top
Was schreibe ich hinter dem Wert "cn=" und was unter DomainName?
Kann ich das aus dem alten eingetragen Zertifikat ableiten (z.Bsp.: CN ->Antragsteller und DomainName -> alternative Antragstellernamen)
catrell
catrell 29.10.2024 aktualisiert um 15:07:40 Uhr
Goto Top
Ich bin immer wieder erstaunt wer so alles Exchange Server völlig ohne Plan betreibt 🙃 ... CN = Common Name = [externer FQDN deines Exchange]
Kann ich das aus dem alten eingetragen Zertifikat ableiten (z.Bsp.: CN ->Antragsteller und DomainName -> alternative Antragstellernamen)
Zertifikat in der MMC öffnen und in den Details unter "Common Name" und "Alternative Antragstellernamen" nachschlagen ...

Man kann auch aus bereits bestehenden Zertifikaten per OpenSSL auch wieder einen neuen CSR mit allen Details des Alten machen
openssl x509 -x509toreq -in myservercert.pem -key myserverprivate.key -copy_extensions copyall -out new.csr
Oder mit der Powershell für ein bestehendes Cert mit Thumbprint den CSR erstellen
$txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))  

Lesen hilft auf jeden Fall wenn man noch neu in der Materie ist
Renew an Exchange Server certificate
Kalma73
Kalma73 29.10.2024 um 16:16:20 Uhr
Goto Top
@catrell
Sorry das ich mich schwer tue, aber der Exchange (interne Verwaltung) ist und wird nie mein Freund werden.

habe mir jetzt deinen letzten Codeschnipzel angesehen und angepasst und werde Ihn morgen durchführen. Weil zum Feierabend will ich nicht noch das System zerlegen.

Wenn ich das laufen lasse, muss ich danach noch was beachten oder anpassen?
ThePinky777
ThePinky777 29.10.2024 aktualisiert um 16:38:14 Uhr
Goto Top
wenn du dir so unsicher bist wende dich an ein grösseres systemhaus und dann bezahlste halt nen consultant der dir das auch erledigt, geht auch sicher per Remot TeamViewer oder so. Kost halt bissl Geld, Aufwand geschätzt 1-2 Stunden wenn nix ausserplanmässiges passiert. Denke die Kosten sich veschmerzbar.
Weil wenn du was falsch machst wars das im Prinzip - Exchange Zertifikat kaputt - Dienst halb oder ganz tot und niemand da ders fixen kann... und dann im panik modus find mal hilfe... ziemlich dumme sache dann...
MysticFoxDE
MysticFoxDE 30.10.2024 um 06:02:02 Uhr
Goto Top
Moin @Kalma73,

Leider ist ja das Erneuern des Zertifikates nach CU12 auf Exchange 2019 nicht mehr möglich.

aha und wie kommst du bitte auf diese Idee?

Geht ja alles nur noch über die PowerShell vom Exchange.

Oder man startet auf dem Exchange einfach die mmc.exe (als Administrator), fügt dann das Zertifikate Snap-In für das Computerkonto hinzu und verlängert das entsprechende Zertifikat einfach über diese Konsole/GUI. 😉

Gruss Alex