habanera
Goto Top

Zertifikat fehlt lt Ereignisanzeige im Ex2k7

Hallo Newsgroup:

Noch mal mein SSL Zerifikatsproblem, wo ich leider nicht so richtig weiterkomme:

Allgemein möchte ich gern IMAP/SMTP mit SSL auf unserem Exchange2007 verwenden. OS: Win 2003 64 Bit.

Es sind auf dem Server vier "accepted domains" eingerichtet:


firma.local (ads-domain)
firma.de
firma.eu
firma.at
ex2k7.firma.local is the FQDN hostname des exchange servers.

Ich habe folgendes gemacht.

1.) neuen Zerifikatrequest erstellt:

New-ExchangeCertificate -GenerateRequest -SubjectName "c=DE,o=Firma,cn=ex2k7.firma.local" -IncludeAcceptedDomains -PrivateKeyExportable:$true -DomainName ex2k7, mail.firma.at, mail.firma.de, mail.firma.eu -KeySize 4096 -Path C:\certrequest_ex2k72007_20070821.req


Danach diesen Request in einer eigenen 3rd party CA unterschrieben.

Danach das Zertifikat importiert:

2.) Import-ExchangeCerificate C:\cert.cer

und

3.) Enable-ExchangeCertificate -Thumbprint 96DDF85F0BB6D4269F4AE942A78A3162C31EDFC5 -Services SMTP,IIS,IMAP.

aktiviert für SMTP, IIS, IMAP


Mit Get-ExchangeCertificate bekomme ich:

Thumbprint Services Subject
-------- -------
96DDF85F0BB6D4269F4AE942A78A3162C31EDFC5 SIP.W CN=ex2k7.firma.local, O...


mit Get-ExchangeCertificate | fl:

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {ex2k7.firma.local}
HasPrivateKey : True
IsSelfSigned : False
Issuer : E=ca.admin@firma.de, CN=firma.R21.host.CA, OU=R21, O=Firma, L=Ort, S=State, C=DE
NotAfter : 8/20/2010 12:14:04 PM
NotBefore : 8/21/2007 12:14:04 PM
PublicKeySize : 2048
SerialNumber : 2D
Status : Invalid
Subject : CN=ex2k7.firma.local, O=Firma, C=DE
Thumbprint : 96DDF85F0BB6D4269F4AE942A78A3162C31EDFC5

Irritierend ist der der Status: invalid. (Warum?) Die Zerifizierungskette ist bis zur root-CA gegeben und die Zwischenzerifizierungsstellen und die Root-CA ist mit installiert.


https:// Zugriff auf das OWA klappt, Outlook 2007 meldet ebenfalls keine Probleme.

ABER:

Aller 15 min erhalte ich in der Ereignisanzeige folgende Meldung:

Event Type: Error
Event Source: MSExchangeTransport
Event Category: TransportService
Event ID: 12013
Date: 8/21/2007
Time: 2:11:50 PM
User: N/A
Computer: MSX2007
Description:
Microsoft Exchange couldnΓÇÖt find a certificate with a thumbprint of 5EE9222CFAD777329B65338EDED18E4E9EB01C2E in the personal store on the local computer. This certificate was configured for authentication with other Exchange servers. Mail flow to other Exchange servers will be affected by this error. If the certificate with this thumbprint still exists in the personal store, run Enable-ExchangeCertificate 5EE9222CFAD777329B65338EDED18E4E9EB01C2E ΓÇôservices SMTP to resolve the issue. If the certificate doesnΓÇÖt exist in the personal store, restore it from backup by using the Import-ExchangeCertificate cmdlet, or create a new certificate for the FQDN or the server enabled for SMTP by using New- ExchangeCertificate ΓÇôdomainname serverfqdn ΓÇôservices SMTP.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


Eigtl. dachte ich, dass das schon erledigt ist mit dem oben genannten. (Neustart bringt auch nix). Dieser vermisste Thumbprint ist auch nicht vorhanden, das stimmt schon, aber er soll doch bitte das installierte Zertifikat nehmen.


Des weiteren sind folgende Meldungen vorhanden:

Event Type: Error
Event Source: MSExchangeTransport
Event Category: TransportService
Event ID: 12014
Date: 8/21/2007
Time: 2:57:57 PM
User: N/A
Computer: MSX2007
Description:
Microsoft Exchange couldn't find a certificate that contains the domain name ex2k7.firma.local in the personal store on the local computer. Therefore, it is unable to offer the STARTTLS SMTP verb for any connector with a FQDN parameter of ex2k7.firma.local. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for every connector FQDN.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

---

Event Type: Error
Event Source: MSExchangeTransport
Event Category: TransportService
Event ID: 12014
Date: 8/21/2007
Time: 2:11:50 PM
User: N/A
Computer: MSX2007
Description:
Microsoft Exchange couldn't find a certificate that contains the domain name ex2k7.firma.local in the personal store on the local computer. Therefore, it is unable to offer the STARTTLS SMTP verb for any connector with a FQDN parameter of ex2k7.firma.local. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for every connector FQDN.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

---

Was wird für einen SSL-IMAP Zugriff unter E2K7 noch gebraucht?
Soweit ich jetzt mitbekommen habe entw. ein Zertifikat, das für alle Connectoren (accepted domains) SAN - Einträge beinhaltet oder eben für jede Domain ein eigenes Zertifkat, oder?

Danke für Eure Hilfe!!

Björn

Content-ID: 66726

Url: https://administrator.de/contentid/66726

Ausgedruckt am: 22.11.2024 um 13:11 Uhr