Selbstsigniertes Zertifikat verlängern - Problem mit Zertifikatserver

Hallo zusammen,

ich verzweifle (mal wieder) am Theme Zertifikate, wo ich keine Ahnung von habe.

Ich habe auf unserem Exchange Server eine selbstsigniertes Zertifikat (mail.domäne.de) für IMAP aktiv. Diese Zertifikat ist abgelaufen, weshalb in Outlook Warnmeldungen aufpoppen. Beim verlängern des Zertifikats habe ich jetzt Probleme:

Wenn ich im IIS Manager unter den Eigenschaften der Default Web Site unter dem Reiter Directory Security den Wizard starte, und dann "Renew the current certificate" wähle, kann ich nicht wie früher "Send request immediately..." wählen und dann den Zertifikatserver auswählen. Der Punkt ist ausgegraut und ich habe nur den Punkt "Prepare the request now, but send it later" (certreq.txt wird erzeugt). Ich denke also, dass die Verbindung zwischen dem Exchange und dem Zertifikat-Server nicht stimmt oder der Zertifikat-Server ein generelles Problem hat.

Wer kann mir weiterhelfen?

Hallo Norbert,

danke für den Link. Allerdings brint der mich nicht richtig weiter.
Laut des Technet-Artikels soll man das alte zertifikat einfach mit dem folgenden Befehl clonen:

Get-ExchangeCertificate -Thumbprint xxxxxxxx | New-ExchangeCertificate

Den Befehl habe ich ausgeführt. Allerdings bekomme ich im IIS-Manager immernoch das alte abgelaufene Zertifikat angezeigt. Ich schätze ich muss den neuen Clone aktivieren. Im Kommentar zum Artikel steht der folgende Befehl dazu:

Neues Zertifikat aktivieren
Enable-ExchangeCertificate -Thumbprint <neuerThumbprint> -Service IIS

Altes zertifikat entfernen
Remove-ExchangeCertificate -Thumbprint <neuerThumbprint>

Allerdings: Wo sehe ich das neue Zertifikat und dessen Fingerprint? Wo wird es abgelegt?

Gruß
Andreas

Hallo Norbert,

danke für deine Antwort. Den Befehl kenne ich schon, der listet die Certs auf. Allerdings zeigt er mit nach dem Clonen exakt das gleiche an wie davor. Deshalb frag ich nochmal anders herum und hoffe dass du es nochmal für Dumme erklärst:

Wird beim Clonen mit dem Befehl

Get-ExchangeCertificate -Thumbprint xxxxxxxxx | New-ExchangeCertificate

ein neues Cert mit neuem Thumbprint erstellt, oder bleibt der Tumbprint gleich (ist ja schließlich ein Clone)?

Wie kann ich denn nun den Clone (wo auch immer er liegt) für IMAP, POP3 und WWW aktivieren?
Wenn ich den Befehl

Enable-ExchangeCertificate -Thumbprint <alterTumbprint> -Service IIS

(oder IMAP) ausführe, bringt das leider rein garnichts. Dann habe ich im IIS-Manager immernoch das abgelaufen Cert stehen.

Ich habe spaßeshalber nochmal im IIS-Manager den Wizard gestartet und habe "Renew current certificate..." gewählt. Und siehe da, auf einmal konnte ich wieder "Send request immediately..." auswählen und der Zertifikat-Server stand wieder zur Verfügung. Verstehe ich mal überhaupt nicht. Kann ich mir nur so erklären, dass der (recht alte und deshalb recht ausgelastete) Zertifikat-Server einfach busy war.
:-?

Jedenfalls hat er das Zertifikat jetzt bis zum 15.08.2010 verlängert und ihm auch einen neuen Thumbprint verpasst.

Trotzdem würde ich gerne noch wissen, wie es denn korrekt mit dem Clonen gemacht wird, wenn jemand so freundlich ist

Und noch eine andere dumme Frage:
Wenn mir der Befehl

Get-ExchangeCertificate | ft

drei zertifikate ausgibt, wovon zwi für I (IMAP) und P ( POP) aktiviert sind, ist das schlecht? sollte ich das zweite deaktivieren?