abgelaufene Zertifikate

1. offizieller Beitrag

    Hallo Forum,
    Ich habe auf meinem Exchange2007 Die Fehlermeldung 12016
    Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von 'server.externedomäne.de' vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen......


    Es scheint aber alles noch zu funktionieren. Zumindest hat noch kein Outlook oder owa-client gemeckert.
    Ich habe mal nachgesehen was für zertifikate auf dem server vorhanden sind.
    mit get-ExchangeCertificate |fl
    zeigt er mir 10!!! Stück an wobei 8 abgelaufen sind (status DateInvalid)
    Das eine gültige hat unter CertificateDomain den eintrag: Servername,Server.interneDomäne und unter Services ist SMTP gelistet.
    Das andere gültige hat unter CertificateDomain den eintrag: server.externeDomäne und unter Services ist IMAP,POP,IIS gelistet.


    teilweise sind den abgelaufenen Zertifikaten auch services zugewiesen.


    Jetzt weis ich nicht ob ich nur die ungültigen Zertifikate löschen muss. Schnappt sich der server dann automatisch die gültigen Zertifikate?
    Wie kann ich sehen welcher zertifikate wirklich in Benutzung sind?


    Ich hoffe jemand kann meine Verwirrung auflösen. :-?


    edit:
    Noch mehr info:
    Das Zertifikat für server.externe Domäne habe ich mit deiner zertifizierungsstelle auf einem unserer Domänencontroller erstellt und vor kurzem aktualisiert.


    unter den abgelaufenen Zertifikaten sind diverse ohne Eintrag bei CertificateDomains

    • Offizieller Beitrag

    Moin,


    wenn Du kein TLS über SMTP machst, kannst Du den EventLog-Eintrag ignorieren.


    Wenn Du mit "get-exchangecertificate | fl" die Zertifikate abrufst, siehst Du unter Services, bei welchen Diensten ein Zertifikat benutzt wird:


    I = Imap4
    P = Pop3
    S = SMTP
    W = IIS
    U = UM


    Es kann durchaus vorkommen, dass für einen Dienst mehrere Zertifikate benutzt werden.


    Um das SMTP-Zertifikat zu erneuern, führst Du:


    Code
    Get-ExchangeCertificate -Thumbprint <Thumbprint des Certs> | New-ExchangeCertificate


    aus.


    Alte Zerts kannst Du mit "remove-exchangevertificate" löschen.

    Hallo Robert,
    danke für deine Antwort.
    Wenn nun zB SMTP ein abgelaufenes Zertifikat benutzt und ein gültiges. Kann ich dann gefahrlos das ungültige löschen?


    Die Meldung besagt ja komischerweise das KEIN gültiges Zertifikat vorhanden ist. Ich möchte vermeiden das ich Ausfälle bein Mailempfang habe.


    Welche Zertifikate braucht man denn eigentlich?
    Wenn ich das richtig verstehe. brauche ich intern eines für den IMAP zugriff der clients sowie IIS für Autodiscover. Das ganze ausgestellt für die interne Dömane.


    Und ein weiters für SMTP von extern und wahrscheinlich auch IIS wegen owa, ausgestellt für die externe Domäne.


    Sorry falls sich das etwas verwirrt anhört

    Hallo RobertW,


    der Threat ist etwas älter, aber ich hoffe, Du kannst noch helfen:


    Meine Umgebung ist W2008 SBS und Ex2007 SP1


    ich habe Deinen Befehl:


    Get-ExchangeCertificate -Thumbprint <Thumbprint des Certs> | New-ExchangeCertificate



    ausgeführt und folgende Meldung in Gelb erhalten:


    WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem FQDN von 'SERVER.meine-domain.local' verwendet, weil das von einer CA signierte Zertifikat mit dem Fingerabdruck 'E1BF74EF9E36C3ABF8E3520FEDA847B58A2EC666' den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden FQDN überein:
    Default SERVER.


    WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem FQDN von 'remote.meine-domain.de' verwendet, weil das von einer CA signierte Zertifikat mit dem Fingerabdruck '40EAA761B9334714C256A7B247897651D2FF91D5' den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden FQDN überein:
    Windows SBS Internet Receive SERVER.


    Bei der Frage: Soll das vorhandene SMTP-Standardzertifikat ... ... überschrieben werden?


    Habe ich JA geantwortet. Leider ist das fehlerhafte Zertifikat, mit dem ich von "aussen" mein Outlook 2007 mit dem Server verbinden kann, trotzdem nicht ersetzt worden.


    Was kann ich da tun bzw. hast Du noch ein paar Anhaltspunkte für mich???



    DANKE!!


    Matze

    Hi Robert,


    mit "fehlerhaft" meinte ich "Abgelaufen". Die Outlook-Clients erhalten immer noch eine Meldung, dass das Zertifikat abgelaufen ist.


    Wie kann ich mit enable-exchangecertificate die Dienste zuordnen. Gibt es da eine spezielle Syntax?


    Danke!!


    Matze

    Vielen Dank!!


    Die Dienste des neuen Zertifikats sind IMAP, POP, SMTP. Das abgelaufene Zertifikat hatte noch IIS.


    Kann ich den Dienst einzeln hinzufügen, oder muss ich dann alle vier angeben?? Hängt das Outlook-Problem damit zusammen oder muss ich noch weitere Dienste zufügen?


    Ferner hatte das alte Zertifikat bei RootCAType "Registry" und das neue "none". Muss/Kann ich da noch was ändern?



    DANKE für Deine Hilfe!!

    Hi,


    danke für die Hilfe. Ich habe das so gemacht und jetzt taucht bei Services auch IIS auf.


    Leider ist wieder diese Fehlermeldung in gelb gekommen:


    WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem FQDN von 'SERVER.meine-domain.local' verwendet, weil das von einer CA signierte Zertifikat mit dem Fingerabdruck 'E1BF74EF9E36C3ABF8E3520FEDA847B58A2EC666' den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden FQDN überein:
    Default SERVER.


    WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem FQDN von 'remote.meine-domain.de' verwendet, weil das von einer CA signierte Zertifikat mit dem Fingerabdruck '40EAA761B9334714C256A7B247897651D2FF91D5' den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden FQDN überein:
    Windows SBS Internet Receive SERVER.


    Muss ich noch den "Vorrang" ändern bzw. das alte Zertifikat deaktivieren??


    Danke!!