Hallo zusammen,
ich brauche mal wieder Hilfe. Beim Kunden ist das Exchange Zertifikate abgelaufen und die bekommen im OWA andauernd die Meldung, Zertifikatsfehlermeldung oder so,
Nun habe ich mich mit der Geschichte beschäftigt und an der Exchange Shell zu schaffen gemacht.
Leider hat´s nicht geklappt.
Ich habe ein Zertifikat erstellt, nur läuft das nicht in OWA. Die rufen OWA via https://bla.dyndns.org/owa auf.
Hier mal meine Vorgehensweise.
1. Zertifikats request/Anforderung in Exchange Shell erstellen
New-ExchangeCertificate
-GenerateRequest -SubjectName "O=Firmenname, CN=Dateiserver, DC=Bla, DC=local"
-includeAcceptedDomains
-DomainName Dateiserver,Dateiserver.bla.local,relay.bla.local,autodiscover,bla.dyndns.org
-FriendlyName "wima070910"
-KeySize 2048
-PrivateKeyExportable $true -Path C:\cert\certwima070910.req
2. https://dateiserver/certsrv ==> Erstellen des Zertifikats in der Zertifizierungsstelle/Server
3. Zertifikat in Zertifizierungsstelle erstellt (Fingerabdruck des Zertifikats) und Zertifikatsdatei erstellt als C:\cert\certwima070910.cer
4. Import-ExchangeCertificate -path C:\cert\certwima070910.cer
5. Enable-exchangecertificate -thumbprint (Fingerabdruck des Zertifikats) -services IMAP,POP,SMTP,IIS
6. Export-exchangecertificate -thumbprint (Fingerabdruck des Zertifikats) -binaryencoded:$true -path C:\cert\certwima070910.ex1.pfx -passwordface-sadget-credential).Password
7. Für OWA muss im IIS Manager das alte durch das neue Ersetzt werden
Standardwebsite--> unter Seite Bearbeiten (Rechte Seite) ->Bindungen ->Zertifikat überprüfen
8. TESTEN!
9. altes Zertifikat löschen
Remove-ExchangeCertificate -thumbprint (Fingerabdruck des Zertifikats)
[PS] C:\Windows\System32>get-exchangecertificate | fl
Dieses Zertifikat habe ich erstellt
----------------------------------------------------------------------------------------------------------------------------------------------
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local, relay.bla.local, autodiscover, bla.dyndns.org, onlinehome.de
, hans-e-bla.de, bla.local, h-e-blabla.de}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=blablablaCA, DC=bla, DC=local
NotAfter : 07.09.2011 15:07:42
NotBefore : 07.09.2010 14:57:42
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 1CEE916A000000000010
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=Dateiserver, O=Firmenname, DC=bla,
DC=local
Thumbprint : (Fingerabdruck des Zertifikats)
----------------------------------------------------------------------------------------------------------------------------------------------
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local, relay.bla.local, autodiscover.bla.local, bla.dyndns.o
rg}
HasPrivateKey : True
IsSelfSigned : True
Issuer : DC=local, DC=bla, O=Hans E. Bla GmbH, CN=Dat
eiserver
NotAfter : 19.08.2011 13:03:25
NotBefore : 19.08.2010 13:03:25
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 55605B04F2C50BA24FD0943AEE45A096
Services : IMAP, POP, SMTP
Status : Valid
Subject : DC=local, DC=bla, O=Firmenname, CN=Dat
eiserver
Thumbprint : (Fingerabdruck des Zertifikats)
Dieses Zertifikat ist abgelaufen, aus diesen Zertifikate habe ich die Parameter entnommen ->CertificateDomain etc.
----------------------------------------------------------------------------------------------------------------------------------------------
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local, relay.bla.local, autodiscover.bla.local, bla.dyndns.o
rg}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=winkelCA, DC=bla, DC=local
NotAfter : 10.12.2009 15:32:59
NotBefore : 10.12.2008 15:22:59
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 12046BB7000000000002
Services : IMAP, POP, SMTP
Status : DateInvalid
Subject : CN=Dateiserver, O=Hans E. Bla GmbH, DC=bla,
DC=local
Thumbprint : (Fingerabdruck des Zertifikats)
----------------------------------------------------------------------------------------------------------------------------------------------
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {winkelCA}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=winkelCA, DC=bla, DC=local
NotAfter : 10.12.2108 15:28:38
NotBefore : 10.12.2008 15:18:38
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 24E4945BDAF1B6944A7BB31D1146E6E3
Services : None
Status : Valid
Subject : CN=winkelCA, DC=bla, DC=local
Thumbprint : (Fingerabdruck des Zertifikats)
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {Dateiserver, Dateiserver.bla.local}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=Dateiserver
NotAfter : 28.10.2009 16:39:42
NotBefore : 28.10.2008 16:39:42
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : C30EEF07087812874873A87B9463D1D3
Services : IMAP, POP, SMTP
Status : Invalid
Subject : CN=Dateiserver
Thumbprint : (Fingerabdruck des Zertifikats)
----------------------------------------------------------------------------------------------------------------------------------------------
im IE bekommen die die Meldung:
Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden
oder
Es liegen keine ausreichenden Informationen vor, um dieses Zertifikat zu verifizieren.
Kann mir einer helfen? Ich tippe total im dunklen!
