Neues Wildcard-Zertifikat - SMTP-Service-Bindung nicht wie erwartet

1. offizieller Beitrag

    Hallo Forum,


    ich hoffe ich finde hier ein klein wenig UNterstützung.


    Ich muss aber den Hinweis machen, dass ich unter dem gleich Titel eine Anfrage im Technet gestellt habe.
    Dort hat mir zwar schon ein Forist versucht zu helfen - aber es sind noch Restfragen geblieben.
    Da ich aber den Thread versehentlich im falschen Bereich gepostet hatte, kommt da aktuell auch kein Feedback mehr.


    Eventuell kann mir ja hier noch jemand etwas weiterhelfen?


    Zum Thema:


    Bei einem Keunden mit Exchange 2016 läuft am 30.04. das Wildcard-Zertifikat aus.
    Der Kunde hat ein neues Zertifikat gekauft, welches bereits sowohl in der Sophos, als auch im Exchange eingebunden wurde.
    Den Service HTTPS konnte ich ohen Probleme dem neuen Wildcard-Zertifikat zuweisen.


    Beim SMTP kam noch die FRage, ob ich den Default-SMTP auf das neue Zertifiakt setzen möchte, was ich auch mit Ja benantortet habe.
    Aber egal welche Ansicht ich mache - der Service SMTP ist immer nur dem alten WC-Cert zugeordnet.


    [PS] C:\Windows\system32>Get-ExchangeCertificate
    ThumbprintServicesSubject
    -------------------------
    35xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxA8...W...CN=*.firma.de (NEUES ZERTIFIKAT)


    A0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAF....S..CN=*.firma.de (ALTES ZERTIFIKAT)


    A8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3A.......CN=Microsoft Exchange Server Auth Certificate
    A7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx54IP.W...CN=SRV-EX-01
    EDxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxDE.......CN=WMSvc-SHA2-SRV-EX-01


    In der EAC wird auch nur dem alten Zert das SMTP angezeigt (ausgegraut)


    Jedenfalls habe ich anhand der Anlayse von Protokollen und einem Test mit openssl verifiziert, dass entweder das neue WC-Zert oder das Build-IN-Zertifikat antwortet.
    Demnach müsste ich mir keine Sorgen machen - trotzdem hinterläst die Anzeige doch ein paar Fragezeichen und eben auch ein wenig Besorgnis, dass ab dem 30.04. doch ein paar Problem auftauchen könnten.


    Vielen Dank vorab,
    Dan

    • Offizieller Beitrag

    Moin,


    erst einmal - willkommen an Board!


    Schön, das du uns gefunden hast.


    Wenn du freundlicherweise auf das TechNet / Crosspostings hinweist, gerne den Link posten, das hilft, ich habe dort deinen Beitrag nicht gefunden - ggf. im Englischen Bereich gepostet?


    Im MCSE-Board gibt es einen Thread der zu deiner Aufgabe passt:
    https://www.mcseboard.de/topic…at-tausch-gegen-wildcard/


    Ich vermeide auch immer Wildcard Zertifikate.


    ;)


    Nachtrag - bitte die genaue Exchange-Version ermitteln:
    http://blog-schulenburg.de/ind…87-exchange-build-nummern

    Moin Norbert,


    danke für Deine Unterstützung und Pflege des Forums.


    Hier der Link.


    Hier die Exchangeversion: Version 15.1 ‎(Build 1034.26)‎, also 2016 CU6


    Nun, der Kunde hat nun mal ein Wildcard-Zertifikat im EInsatz - das Zertifikat liegt jetzt auch nicht so bei wirklich vielen Admins. Somit m.E. nicht verkehrt die Lösung.
    Ansonsten wird in dem o.g. Posting nicht so ganz mein Punkt getroffen.


    Es wird ja das richtige Zertifikat genommen - laut SMTP-Receive und SMTP-Sender-Logs. Zumindest finde ich dort nur den Thumbprint des neuen WC- und des BuildIN-Zertifikats.


    Grüße,
    Dan

    • Offizieller Beitrag

    Moin,


    den Thread aus dem MCSEboard hatte ich ja nur wegen "...Wildcard ungern..." verlinkt.


    Und CU6 ist alt (9 Monate und 3 CU..) - zudem nicht supportet, MS hat die Support-Matrix bei Exchange 2016 geändert, immer nur aktuell -1 wäre also CU8


    Kann sein, das sich das mit dem CU9 erledigt hat, die haben ab dem CU8 in dem Bereich diverse Änderungen gemacht.


    Also - frisch ans Werk ;)

    Hallo Norbert,


    hmm - okay, CU6 ist nicht mehr so frisch. Jetzt mal eben CU9 ...? Der Kunde hat am WE wohl ein wichtiges Event. Mal schaun, ob ich das mal zwischendurch eingespielt bekomme.


    Glaubst Du eher dass das eom Anzeigeproblem ist - oder hast du schon mal was ähnliches gesehen?


    Grüße, Dan

    • Offizieller Beitrag

    Moin,


    wenn du das CU9 installieren willst, erst das .NET 4.7.1, reboot und dann sofort das CU9 - dauert zusammen je nach "Bums" vom Server etwa 2h
    BACKUP!!


    .NET 4.7.1 wird ab CU10 Installations-Voraussetzung


    Ich denke, das ist ein Anzeigefehler, das wurde viel gemacht. ;)

    Hallo NorbertFe und NobbyausHB,

    Zitat von NorbertFe

    Ich hatte schon den Fall, dass ich zwingend die Zertifikate nochmal entfernen/löschen mußte um sie dann erneut einzubinden. Danach war dann optisch auch alles wieder schön.


    NorbertFe: Du meinst, dass ich das aktuell funktionierende Zertifikat komplet rauslöschen sollte und einfach noch mal einbinden sollte?
    Hmm, wäre ja mal was für heute Abend :)


    Zitat von NobbyausHB

    wenn du das CU9 installieren willst, erst das .NET 4.7.1, r


    @NorbertausHB: würde den auch CU8 zunächst reichen, dann ist das Zeitfenster kleiner?


    Thanks,
    Dan