Exchange 2007 Sicherheitszertifikat Client Access

1. offizieller Beitrag

    Hallo,


    ich hätte eine Frage zu den Sicherheitshzeritfikaten am Exchange 2007. Wir betreiben mit dem Server OWA, OMA, SMTP und POP mit einem öffentlichen Zertifikat. Das Zertifikat ist nun abglaufen und ich habe ein neues angefordert und installiert. Installiert bedeutet im IIS die Anfrage erzeugt und das neue Zertzifikat dann eingespielt.


    des weiteren habe ich noch über die shell die dinste smtp pop und www an das neue zertifikat gebunden. dies sieht nun so aus:


    Thumbprint Services Subject
    ---------- -------- -------
    B7E8F41768435C3DDB9B29BA852BE SIP.W CN=srv1.s3...
    301107E5532A18C92E706011B73A3 ..... OID.1.2.840.1
    D4B89DF20E39C4685BC1F8DE909BF SIP.. CN=srv1.s3...
    CB9AF158BEA4F3E31FF4BFC55517BA S.... CN=hosted1


    Zur Erläuterung, das erste Zertifikat ist das neue Öffentliche (Thumbprint am Ende mit BE), das vorletzte das alte Öffentliche (Thumbprint am Ende mit BA!


    ich bekomme auf den Windows Mobiles aber leider immer den Fehler das das Zertifikat ungültig ist...? Aber warum, habe doch das neue eingespielt und die Dienste zugewiesen? Muss ich vielleicht das alte Öffentliche irgendwie komplett disablen?


    Was bedeuten eigentlich die Services W und I bzw dass zwichen P und W. Hab dazu nix gefunden, S = SMTP und P = POP, ist W vielleicht WWW...?
    Des weiteren wundert mich dass der die Serial Number im IIS des neuen Zertifikates mit (f1 19) endet, das scheint in der Shell überhaupt nicht auf...?


    Wäre echt super wenn mir jemand einen Tip geben könnte, kenn mich mit Zertifikaten noch nicht so gut aus.


    danke und lg,
    renè


    PS: OWA funktiniert Einwandfrei, hier wird auch das neue Zertifikat angezeigt!

    -----------------------------------------------------------
    Gruss Renè

    • Offizieller Beitrag

    Hi,


    hast du mal geprüft, auf welchen Namen das Zertifikat ausgestellt wurde.


    Get-ExchangeCertificate


    Hast du das Zertifikat über die PS installiert?


    Import-ExchangeCertificate -Path c:\certificates\import.cer


    Um verschiedene Dienste für das Zertifikat folgendes ausführen:


    Enable-ExchangeCertificate -Thumbprint 5221ae0323b12faab54b1a0298325665738e021a -Services "POP,IMAP"


    Um ein Zertifikat zu entfernen musst Du folgendes ausführen:


    Remove-ExchangeCertificate -Thumbprint 5221ae0323b12faab54b1a0298325665738e021a


    Oder schau mal hier:
    http://technet.microsoft.com/en-us/library/bb885052.aspx


    Viele Grüsse
    Heinz

    Hi Heinz,


    verstehe.


    Aber das erste Zertifikat hatte ich erst in der verwaltungsshell nach dem ich es im IIS neu eingespielt hatte. Und nun muss ich es noch einmal mit der shell per Import-ExchangeCertificate importieren?


    Welcher Service ist eigentlich Massgebend für Active Sync (Windows Mobile Synchronisierung? P (Pop) und S (Smtp) sind es ja wohl nicht.

    -----------------------------------------------------------
    Gruss Renè

    • Offizieller Beitrag

    Hallo,


    nein, das sind die Web Dienste. Wenn du Änderungen im IIS Manager machst, werden die in die Matabase geschrieben und stehen dann da drin. Der Exchange zieht seine Infos aber aus dem AD und dort stehen die Infos nicht, denn die Metabase wird nicht ins AD Repliziert, sondern nur das AD in die Metabase (DS2MB Service). Also musst du das Zertifikat über die PowerShell einbinden und nur dann kennt der Exchange und das AD das Zertifikat. Dann wird es über die DS2MB Replikation in die Metabase des IIS geschrieben und sollte dann funktionieren.