sachellen
Goto Top

Exchange Server 2010 - Zertifikat abgelaufen : erneuern

Guten Morgen Liebe Mitglieder face-smile

Bei uns ist das Exchange Zertifikat abgelaufen. Ich wollte es direkt über den IIS Manager erneuern, dort geht es aber nicht. Die Fehlermeldung lautet:
a

Nun bin ich direkt in der Exchange-Verwaltungskonsole gegangen und kann dort das Zertifikat evt. erneuern.
Dort fragt er mich nach einer *.req Datei. Das Problem, das hat mein Vorgänger alles ohne eine Doku hinterlassen.
Ich habe hier zwei Dateien... Ich weiß nicht welche ich nehmen soll.

Kann ich folgendes tun:?
1. Ein neues Zertifikat mit dem gleichen Aussteller erstellen,
2. Danach erscheint dieses in der Exchange-Verwaltungskonsole. Dort einfach dem Zertifikat folgenden Dienste zuweisen:
b
3. Dann kommt eine Meldung, ob das alte Zertifikat überschreiben werden soll.. (JA/Nein?)
4. das alte löschen.


Ich habe etwas vom Fingerabdruck in einige Anleitungen etwas gelesen. Gibt das Probleme mit einem neuen Fingerabdruck?

Danke euch für Eure Hilfe face-smile

Liebe Grüße
Sachellen

Content-ID: 305303

Url: https://administrator.de/forum/exchange-server-2010-zertifikat-abgelaufen-erneuern-305303.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Sachellen
Sachellen 25.05.2016 um 14:19:00 Uhr
Goto Top
Ich habe das Problem gelöst, indem ich das Zertifikat erneuert habe und dann die Dienste außer SMTP zugewiesen habe. Weil ich nicht weiß, was passiert, wenn ich beim überschreiben des alten Zertifikats bei SMTP für einen Fehler auslösen könnte.

Jetzt bekomme ich aber folgenden Fehler:
c

Laut den Infos online, hängt es mit dem DNS Eintrag im Zertifikat ab.
Im neu erstellten Zertifikat fehlt mir aber der Punkt "Alternativer Antragstellername" und einige anderen Punkte :/
d

Hat jemand einen Tipp, wie ich das Zertifikat, das schon abgelaufen ist 1:1 neu erstellen kann, nur halt mit einem neuen Ablaufdatum?
117471
Lösung 117471 26.05.2016 um 13:02:36 Uhr
Goto Top
Grundsätzlich solltest Du dir erst einmal eine Übersicht verschaffen, welche internen und externen URIs dein Exchange-Server verwendet.

Im Anschluss forderst Du über die Exchange-Konsole ein Zertifikat ein, welches genau(!) die Hostnamen für die dazugehörigen Dienste beinhaltet.

Du erhältst eine .req Datei.

Diese reichst Du bei deiner Zertifizierungsstelle ein (z.B. über das Webinterface von deinem lokalen AD-Zertifizierungsdienst) und erhältst letztendlich das Zertifikat, dass Du dann in der Exchange-Konsole an die jeweiligen Dienste bindest.

Bitte beachten, dass z.B. die Zertifizierungsstelle vom SBS2011 standardmäßig kein Webinterface "mitbringt". In dem Fall exportiert man den Krempel aus der Zertifizierungsstelle, deinstalliert die Rolle, installiert die Rolle (dieses mal mit Webinterface) und importiert die Sachen aus der Zertifizierungsstelle.

Das alles ist nicht ganz trivial und wenn Du einen Bock schießt (und z.B. den privaten Schlüssel eines Stammzertifikates löscht), hast Du etwas kaputtgemacht, was sich nie wieder herstellen lässt und darfst ggf. deine ganze IT-Infrastruktur auf "nicht mehr handhabbare Zertifikate" filzen und alles "händisch" auf neue Zertifikate stellen.

Lange Rede, kurzer Sinn - Du solltest Dir wirklich überlegen, dich erst einmal grundsätzlich in die Materie einzulesen und im Idealfall üben (z.B. an einer virtuellen Maschine). Ich persönlich habe 6 Monate gebraucht, bis ich da halbwegs durchgestiegen bin.
Sachellen
Sachellen 27.05.2016 um 09:49:43 Uhr
Goto Top
Danke für deine Hilfe! Ich habe das ganze am Ende auch so gelöst.
Habe auch eine kurze Anleitung erstellt, falls ein Anfänger (wie ich) das gleiche Problem bekommt.

1. Als Administrator anmelden, mitdem die Zertifizierungstelle eingerichtet wurde.
2. Exchange Konsole > Serverkonfiguration
3. rechts klick auf abgelaufenes Zertifikat > erneuern
4. Die .csr abspeichern
5. http://localhost/cert (das ist eine Beispiel URL, jeder muss seine eigene kennen)
6. Ein Zertifikat anfordern > erweiterte Zertifikatanforderung ein > "Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet", ein.
7. csr Datei per Notepad öffnen und Inhalt (komplett) in "Gespeicherte Anforderung:" kopieren
8. Als Vorlage "webserver" wählen
9. Zertifikat abspeichern
10. Zurück zu Exchange Konsole > Anforderung abschließen wählen > Zertifikat auswählen > abschließen
11. Dienste zuweisen
12. In zwei Outlook Konten mit gpupdate /force testen
13. altes Zertifikat löschen