17
Neues Exchange Cert für IIS
Moin Leute.
Ich habe eine wohl simple Frage für Exchange Profis hier. Das Zertifikat(ausgestellt von externer Stelle) welches den Dienst IIS zugewiesen ist läuft nächsten Monat ab.
Neues sollten wir die Tage erhalten. Dieses Zertifikat installiere ich auf dem Computerkonto. Logge mich im Admin Center ein und weise es darüber dem Dienst IIS zu. Dann gehe ich in den IIS selbst und binde es an den back end.
IIS Neustart und alles sollte gehen oder?
Mit der Shell kenne ich mich nicht so aus.
So sollte es klappen und das war es oder?
Schönen Sonntag euch
Ich habe eine wohl simple Frage für Exchange Profis hier. Das Zertifikat(ausgestellt von externer Stelle) welches den Dienst IIS zugewiesen ist läuft nächsten Monat ab.
Neues sollten wir die Tage erhalten. Dieses Zertifikat installiere ich auf dem Computerkonto. Logge mich im Admin Center ein und weise es darüber dem Dienst IIS zu. Dann gehe ich in den IIS selbst und binde es an den back end.
IIS Neustart und alles sollte gehen oder?
Mit der Shell kenne ich mich nicht so aus.
So sollte es klappen und das war es oder?
Schönen Sonntag euch
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671098
Url: https://administrator.de/forum/neues-exchange-cert-fuer-iis-671098.html
Ausgedruckt am: 06.03.2025 um 20:03 Uhr
17 Kommentare
Neuester Kommentar
Hi..
Das kannst Du tun.. PS wäre aber sinnvoller... schau bei Frankysweb nach, der hat da einige Todo's ;)
Schaue danach aber unbedingt im IIS nach ob das richtige Cert gemappt wurde.. U.U. musst Du das im IIS noch nachziehen und diesen neu starten. Denke auch an Deine Firewall falls Du WAF o.ä. benutzt...
Alles in allem aber kein Problem...
Gruss Globe!
Das kannst Du tun.. PS wäre aber sinnvoller... schau bei Frankysweb nach, der hat da einige Todo's ;)
Schaue danach aber unbedingt im IIS nach ob das richtige Cert gemappt wurde.. U.U. musst Du das im IIS noch nachziehen und diesen neu starten. Denke auch an Deine Firewall falls Du WAF o.ä. benutzt...
Alles in allem aber kein Problem...
Gruss Globe!
Zitat von @Globetrotter
Schaue danach aber unbedingt im IIS nach ob das richtige Cert gemappt wurde.. U.U. musst Du das im IIS noch nachziehen und diesen neu starten.
Habe ich das nicht auch geschrieben? Oder verstehe ich dich falsch?^^
Aber gut bestätigt mich schonmal
Also kein Akt
Hi..
passt..
Gruss Globe!
passt..
Gruss Globe!
https://www.frankysweb.de/exchange-zertifikate-per-shell-anfordern-und-i ...
Z.B. dort. Ja etwas Scriptlastig... Aber da stehen auch Hinweise zum Thumbprint drin, um das richtige Zertifikat zu finden.
Die Anforderung kannst du dir in deinen Fall sparen.
Da kann man auch statt der Variable $ImportCert.Thumbprint den Thumprint mit 'xxxxxxxxxxxxxxxxxxx' hinterlegen.
Sorry, ab den letzten Versionen geht es ohne die PS kaum. Die oben genannte Seite ist recht mächtig und hat viele gute Tips.
Du sollst zwar nicht alles blind ausführen, aber probier mal dich einzulesen und die Reihenfolge zu verstehen.....
Z.B. dort. Ja etwas Scriptlastig... Aber da stehen auch Hinweise zum Thumbprint drin, um das richtige Zertifikat zu finden.
Die Anforderung kannst du dir in deinen Fall sparen.
Enable-ExchangeCertificate -Thumbprint $ImportCert.Thumbprint -Services POP,IMAP,SMTP,IISDa kann man auch statt der Variable $ImportCert.Thumbprint den Thumprint mit 'xxxxxxxxxxxxxxxxxxx' hinterlegen.
Sorry, ab den letzten Versionen geht es ohne die PS kaum. Die oben genannte Seite ist recht mächtig und hat viele gute Tips.
Du sollst zwar nicht alles blind ausführen, aber probier mal dich einzulesen und die Reihenfolge zu verstehen.....
Einfach die Anleitung bei Frankys Web lesen, da steht alles.
Ein alter, immer noch funktionierender Weg ist über die MMC, im oben verlinkten Artikel lesen ab "Alternativ lässt sich das Zertifikat oder auch ein Zertifikat inklusive des Privaten Schlüssels (PFX Datei) via MMC importieren:"
Ein alter, immer noch funktionierender Weg ist über die MMC, im oben verlinkten Artikel lesen ab "Alternativ lässt sich das Zertifikat oder auch ein Zertifikat inklusive des Privaten Schlüssels (PFX Datei) via MMC importieren:"
Moin @DSchmolke,
👍
Was meinst du mit "Admin Center" genau?
Normalerweise weist du das Zertifikat entweder per ECP oder PowerShell zu.
Jup, den sowohl bei der Zuweisung per ECP als auch per PowerShell, wird leider nicht das Backend Zertifikat getauscht. 😭
Und kontrolliere bitte sicherheitshalber ob bei den beiden Frontend HTTPS-Bindungen, auch das korrekte Zertifikat hinterlegt wurde.
Ja, theoretisch zumindest.
Schau mal sicherheitshalber nach, ob nicht auch das Auth Zertifikat mit am Auslaufen ist.
https://www.alitajran.com/renew-microsoft-exchange-server-auth-certifica ...
Kann ich dir nur empfehlen, denn damit kann man unter anderem sehr viele Dinge machen, die über die GUI nicht wirklich möglich sind.
Dir auch.
Gruss Alex
Dieses Zertifikat installiere ich auf dem Computerkonto.
👍
Logge mich im Admin Center ein und weise es darüber dem Dienst IIS zu.
Was meinst du mit "Admin Center" genau?
Normalerweise weist du das Zertifikat entweder per ECP oder PowerShell zu.
Dann gehe ich in den IIS selbst und binde es an den back end.
Jup, den sowohl bei der Zuweisung per ECP als auch per PowerShell, wird leider nicht das Backend Zertifikat getauscht. 😭
Und kontrolliere bitte sicherheitshalber ob bei den beiden Frontend HTTPS-Bindungen, auch das korrekte Zertifikat hinterlegt wurde.
IIS Neustart und alles sollte gehen oder?
Ja, theoretisch zumindest.
Schau mal sicherheitshalber nach, ob nicht auch das Auth Zertifikat mit am Auslaufen ist.
https://www.alitajran.com/renew-microsoft-exchange-server-auth-certifica ...
Mit der Shell kenne ich mich nicht so aus.
Kann ich dir nur empfehlen, denn damit kann man unter anderem sehr viele Dinge machen, die über die GUI nicht wirklich möglich sind.
Schönen Sonntag euch
Dir auch.
Gruss Alex
@MysticFoxDE
Danke dir alex. Admin center = ecp. Meine das also.
Danke auch für die anderen Rückmeldungen. Also ist es so einfach wie ich dachte.
Top!
Danke dir alex. Admin center = ecp. Meine das also.
Danke auch für die anderen Rückmeldungen. Also ist es so einfach wie ich dachte.
Top!
Moin @DSchmolke,
normalerweise ja.
Wenn ihr jedoch noch eine WAF oder MDM im Einsatz habt, dann muss dort das Zertifikat eventuell auch noch ausgetauscht werden.
Gruss Alex
Also ist es so einfach wie ich dachte.
normalerweise ja.
Wenn ihr jedoch noch eine WAF oder MDM im Einsatz habt, dann muss dort das Zertifikat eventuell auch noch ausgetauscht werden.
Gruss Alex
Hallo nochmal,
einige Funktionen wurden in der GUI reduziert. Ein 2010 Cert für Migration exportiert und importiert man via PowerShell.
Wenn du eine pfx Datei hast - ansonsten eine vorher erstellen - kann du es mit folgenden Befehl auf den Exchange 2016 z.B. einlesen. Nur Stumpf als Parameter mitgeben geht leider nicht! So wie es hier steht.
Danach ist es zwar nicht zugeordnet, taucht aber im Exchange überhaupt erstmal auf.
Im ECP:
[...] klicken und importieren: Heisst es in vielen Anleitungen. Ich meine - bin etwas müde grad - wurde mit einer CU abgeschafft.
Mit dem PS Schnipsel hier kannst du es aber ganz sicher importieren!
Import mit DEINEM Server Namen
Import-ExchangeCertificate -Server WS16-EX2016
Zertifikat in DEINER Windows SMB Freiabe - hier altes 2010er Zert im PFX-Format, vgl. mit deinen neuen!
-FileData ([System.IO.File]::ReadAllBytes('\\W10-CRUSHER\share\ex2010.pfx'))
Damit das festgelegte Kennwort ABGEFRAGT wird.
-Password (Get-Credential).password -PrivateKeyExportable $true
einige Funktionen wurden in der GUI reduziert. Ein 2010 Cert für Migration exportiert und importiert man via PowerShell.
Wenn du eine pfx Datei hast - ansonsten eine vorher erstellen - kann du es mit folgenden Befehl auf den Exchange 2016 z.B. einlesen. Nur Stumpf als Parameter mitgeben geht leider nicht! So wie es hier steht.
Danach ist es zwar nicht zugeordnet, taucht aber im Exchange überhaupt erstmal auf.
Im ECP:
[...] klicken und importieren: Heisst es in vielen Anleitungen. Ich meine - bin etwas müde grad - wurde mit einer CU abgeschafft.
Mit dem PS Schnipsel hier kannst du es aber ganz sicher importieren!
Import mit DEINEM Server Namen
Import-ExchangeCertificate -Server WS16-EX2016
Zertifikat in DEINER Windows SMB Freiabe - hier altes 2010er Zert im PFX-Format, vgl. mit deinen neuen!
-FileData ([System.IO.File]::ReadAllBytes('\\W10-CRUSHER\share\ex2010.pfx'))
Damit das festgelegte Kennwort ABGEFRAGT wird.
-Password (Get-Credential).password -PrivateKeyExportable $true
Import-ExchangeCertificate -Server WS16-EX2016 -FileData ([System.IO.File]::ReadAllBytes('\\W10-CRUSHER\share\ex2010.pfx')) -Password (Get-Credential).password -PrivateKeyExportable $true 
1Zitat von @MysticFoxDE:
Wenn ihr jedoch noch eine WAF oder MDM im Einsatz habt, dann muss dort das Zertifikat eventuell auch noch ausgetauscht werden.
Wenn ihr jedoch noch eine WAF oder MDM im Einsatz habt, dann muss dort das Zertifikat eventuell auch noch ausgetauscht werden.
Alles etwas Suspekt. Exchange besteht ja aus mehreren Diensten. Pauschal was zugeschickt bekommen und mal eben machen ist da immer schlecht - zumindest wenn man nie mit selbstsignierten oder Let's Encrypt gearbeitet hat.
Bei uns läuft es mit win-acme Client problemlos. Ich weiß zumindest von der Migration des 2010 dass wohl das "Burger-Menu" weg rationalisiert wurde.
Ohne mit PS zumindest mal mit einen munteren GET u.ä. sich die Sache angeschaut zu haben ist es eine 50:50 Chance ob es auf anhieb klappt.
https://www.alitajran.com/import-certificate-exchange-server/
Suppose you have Exchange Server that is not running Exchange Server 2016 CU23 and later or Exchange Server 2019 CU12 and later, you can import the certificate in Exchange Admin Center.
Da nochmal die Referenz, bis zu welchen Zeitpunkt es mit dem [...] Menü und ECP ging.
Ich würde dringend raten die PS Grundlagen kennen zu lernen. Ist zumindest bei solchen Produkten ein muss!
Moin @Crusher79,
ein neues Zertifikat aus einer PFX auf dem Exchange zu Installieren ist eigentlich ganz einfach und benötigt normalerweise weder Power-Shell noch ECP.
Einfach mit der Rechten Maustaste auf das entsprechende Zertifikat klicken ...
... dann muss im nächsten Fenster als Speicherort unbedingt "Lokaler Computer" ausgewählt werden ...
... im übernächsten Fenster ...
... kann man einfach auf weiter klicken ...
und in dem letzten Fenster muss noch das Kennwort eigetragen werden und der Haken bei "Schlüssel als exportierbar markieren. ..." gesetzt werden, dann noch mit weiter bestätigen und schon ist das PFX installiert. 😁
Gruss Alex
einige Funktionen wurden in der GUI reduziert. Ein 2010 Cert für Migration exportiert und importiert man via PowerShell.
ein neues Zertifikat aus einer PFX auf dem Exchange zu Installieren ist eigentlich ganz einfach und benötigt normalerweise weder Power-Shell noch ECP.
Einfach mit der Rechten Maustaste auf das entsprechende Zertifikat klicken ...
... dann muss im nächsten Fenster als Speicherort unbedingt "Lokaler Computer" ausgewählt werden ...
... im übernächsten Fenster ...
... kann man einfach auf weiter klicken ...
und in dem letzten Fenster muss noch das Kennwort eigetragen werden und der Haken bei "Schlüssel als exportierbar markieren. ..." gesetzt werden, dann noch mit weiter bestätigen und schon ist das PFX installiert. 😁
Gruss Alex
Moin @DSchmolke,
ähm, Moment, woher kommt das neue Zertifikat überhaupt, von einer externen, sprich öffentlichen Zertifizierungsstelle oder von einer internen und auch AD integrierten?
Gruss Alex
Also ist es so einfach wie ich dachte.
ähm, Moment, woher kommt das neue Zertifikat überhaupt, von einer externen, sprich öffentlichen Zertifizierungsstelle oder von einer internen und auch AD integrierten?
Gruss Alex
Diese Form kenn ich von anderen.
Aber die Exchange-Gurus verweisen darauf. Oder sieht der Exchange es sonst nicht? Ich mach es leider nicht täglich. Kann nur sagen das binary einlesen über eine Share mit PS so funktioniert. Schlüssel exportierbar wird als Parameter mitgegeben.
Ist der Zertifikatspeicher sonst falsch? Oder gehen die bewusst auf die Webadministration und PS Remote Schiene, damit man sich auf den Windows Server nicht einloggen muss?
Die Windows Cert.-Verwaltung wird in den Anleitungen ignoriert. Nur so oder mit Grund? Quasi alles "online" als neuester Sch...
Zu dem da Oben kann ich zumindest sagen, dass es funktioniert und das Cert dann im ECP auftaucht.
Wobei ich zugeben muss, dass es erst nicht ging. win-acme hatte in der default ini export Verbot. Diese Cert. liefen nur auf dem Host. Ein exportierbares Cert. aber kann man einfach so dann damit installieren.
Durch das Geraffel mit win-acme INI bin ich damals auch gleich zum PS Import übergegangen. Wollte rasch fertig werden und habe die Windows Cert.-Verwaltung nicht weiter beachtet.
Darum ob es NUR so geht - ohne Gewähr
Aber die Exchange-Gurus verweisen darauf. Oder sieht der Exchange es sonst nicht? Ich mach es leider nicht täglich. Kann nur sagen das binary einlesen über eine Share mit PS so funktioniert. Schlüssel exportierbar wird als Parameter mitgegeben.
Ist der Zertifikatspeicher sonst falsch? Oder gehen die bewusst auf die Webadministration und PS Remote Schiene, damit man sich auf den Windows Server nicht einloggen muss?
Die Windows Cert.-Verwaltung wird in den Anleitungen ignoriert. Nur so oder mit Grund? Quasi alles "online" als neuester Sch...
Zu dem da Oben kann ich zumindest sagen, dass es funktioniert und das Cert dann im ECP auftaucht.
Wobei ich zugeben muss, dass es erst nicht ging. win-acme hatte in der default ini export Verbot. Diese Cert. liefen nur auf dem Host. Ein exportierbares Cert. aber kann man einfach so dann damit installieren.
Durch das Geraffel mit win-acme INI bin ich damals auch gleich zum PS Import übergegangen. Wollte rasch fertig werden und habe die Windows Cert.-Verwaltung nicht weiter beachtet.
Darum ob es NUR so geht - ohne Gewähr
Moin @Crusher79,
ja, je nach Herkunft des neuen Zertifikats müssen eventuell noch mehr Dinge berücksichtigt werden, daher auch meine letzte Frage an den TO nach der Herzunft des neuen Zertifikats.
Eventuell muss auch noch das Stammzertifikat der entsprechenden Zertifizierungsstelle mit importiert werden.
Ob es mit dem neue Zertifikat Probleme gibt, findet man in den meisten Fällen meiner Erfvahrung nach eh erst heraus wenn man es aktiviert hat.
👍
Gruss Alex
Alles etwas Suspekt. Exchange besteht ja aus mehreren Diensten. Pauschal was zugeschickt bekommen und mal eben machen ist da immer schlecht - zumindest wenn man nie mit selbstsignierten oder Let's Encrypt gearbeitet hat.
ja, je nach Herkunft des neuen Zertifikats müssen eventuell noch mehr Dinge berücksichtigt werden, daher auch meine letzte Frage an den TO nach der Herzunft des neuen Zertifikats.
Eventuell muss auch noch das Stammzertifikat der entsprechenden Zertifizierungsstelle mit importiert werden.
Ohne mit PS zumindest mal mit einen munteren GET u.ä. sich die Sache angeschaut zu haben ist es eine 50:50 Chance ob es auf anhieb klappt.
Ob es mit dem neue Zertifikat Probleme gibt, findet man in den meisten Fällen meiner Erfvahrung nach eh erst heraus wenn man es aktiviert hat.
Ich würde dringend raten die PS Grundlagen kennen zu lernen. Ist zumindest bei solchen Produkten ein muss!
👍
Gruss Alex
Also wie ich das Cert importiere/ installiere ist mir klar. Wie beschrieben Rechtsknick und dann lokaler computer. Dann taucht es auch in der ecp auf. War mir nur nicht sicher ob es dann so einfach geht einfach dort dem dienst iis zuzuweisen und im iis das backend cert auszutauschen.
Mir war so das man doch Probleme bekommen kann das man dann nach login auf der owa eine leere Seite bekommt.
War mir aber relativ sicher das das passiert wenn man im iis nicht das cert im Anschluss tauscht.
Lieber einmal zu viel fragen als zu wenig
Mir war so das man doch Probleme bekommen kann das man dann nach login auf der owa eine leere Seite bekommt.
War mir aber relativ sicher das das passiert wenn man im iis nicht das cert im Anschluss tauscht.
Lieber einmal zu viel fragen als zu wenig
Moin @Crusher79,
damit der Exchange das entsprechende Zertifikat korrekt sieht, muss es lediglich im richtigen Zertifikatsspeicher abgelegt werden und zwar in dem des lokalen Computer und nicht in dem eines Users.
Zudem muss der Schlüssel als exportierbar markiert sein und auch das Zertifikat der entsprechenden Zertifizierungsstelle, sollte sich ebenfalls im Zertifikatsspeicher des lokalen Computers befinden.
Wie die Zertifikate dahin kommen, sprich, per ECP, CMD, PowerShell, Zertifikatsverwaltung & Co ist wiederum vollkommen Wurst, solange diese sauber Importiert werden.
Dafür muss ich diese Übung alle paar Monate bei irgend einem unserer Kunden immer wieder wiederhollen. 🙃
Ja, die von die geposteten PowerShell funktionieren auch, aber selbst mit PowerShell gibt es noch weitere Methoden, wie man das Zertifikat auch importieren kann.
Wenn man den Zielort nicht explizit mit angibt, dann landet das Zertifikat meist im User-Zertifikatsspeicher woraufhin wiederum der Exchange nicht zugreifen kann.
Wie schon oben geschrieben, kannst man das Zertifikat selbstverständlich auch über die Cert.-Verwaltung installieren. Es musst dann aber noch per ECP oder PS für die entsprechenden Exchange-Dienste aktiviert werden und auch beim IIS, mindestens beim Backend noch von Hand getauscht werden.
Gruss Alex
Aber die Exchange-Gurus verweisen darauf. Oder sieht der Exchange es sonst nicht?
damit der Exchange das entsprechende Zertifikat korrekt sieht, muss es lediglich im richtigen Zertifikatsspeicher abgelegt werden und zwar in dem des lokalen Computer und nicht in dem eines Users.
Zudem muss der Schlüssel als exportierbar markiert sein und auch das Zertifikat der entsprechenden Zertifizierungsstelle, sollte sich ebenfalls im Zertifikatsspeicher des lokalen Computers befinden.
Wie die Zertifikate dahin kommen, sprich, per ECP, CMD, PowerShell, Zertifikatsverwaltung & Co ist wiederum vollkommen Wurst, solange diese sauber Importiert werden.
Ich mach es leider nicht täglich.
Dafür muss ich diese Übung alle paar Monate bei irgend einem unserer Kunden immer wieder wiederhollen. 🙃
Kann nur sagen das binary einlesen über eine Share mit PS so funktioniert. Schlüssel exportierbar wird als Parameter mitgegeben.
Ja, die von die geposteten PowerShell funktionieren auch, aber selbst mit PowerShell gibt es noch weitere Methoden, wie man das Zertifikat auch importieren kann.
Ist der Zertifikatspeicher sonst falsch?
Wenn man den Zielort nicht explizit mit angibt, dann landet das Zertifikat meist im User-Zertifikatsspeicher woraufhin wiederum der Exchange nicht zugreifen kann.
Die Windows Cert.-Verwaltung wird in den Anleitungen ignoriert. Nur so oder mit Grund? Quasi alles "online" als neuester Sch...
Wie schon oben geschrieben, kannst man das Zertifikat selbstverständlich auch über die Cert.-Verwaltung installieren. Es musst dann aber noch per ECP oder PS für die entsprechenden Exchange-Dienste aktiviert werden und auch beim IIS, mindestens beim Backend noch von Hand getauscht werden.
Gruss Alex
Moin @DSchmolke,
wenn du das neue Zertifikat per ECP oder PS dem IIS zuweist, dann wird lediglich nur die Zuweisung des Frontend aktualisiert, nicht jedoch auch die des Backends. Das Letztere muss immer von Hand nachgezogen werden.
Jup, genau das passiert, wenn man das Zertifikat nur per ECP oder PS tauscht, aber nicht gleichzeitig von Hand auch die Backend zuweisung im IIS korigiert. 🙃
Gruss Alex
Dann taucht es auch in der ecp auf. War mir nur nicht sicher ob es dann so einfach geht einfach dort dem dienst iis zuzuweisen und im iis das backend cert auszutauschen.
wenn du das neue Zertifikat per ECP oder PS dem IIS zuweist, dann wird lediglich nur die Zuweisung des Frontend aktualisiert, nicht jedoch auch die des Backends. Das Letztere muss immer von Hand nachgezogen werden.
Mir war so das man doch Probleme bekommen kann das man dann nach login auf der owa eine leere Seite bekommt.
War mir aber relativ sicher das das passiert wenn man im iis nicht das cert im Anschluss tauscht.
War mir aber relativ sicher das das passiert wenn man im iis nicht das cert im Anschluss tauscht.
Jup, genau das passiert, wenn man das Zertifikat nur per ECP oder PS tauscht, aber nicht gleichzeitig von Hand auch die Backend zuweisung im IIS korigiert. 🙃
Gruss Alex
