Moin Leute,
ich verzweifle grad an folgendem Problem:
Wir haben in unserem Exchange 2016 zwei gültige Zertifikate (Zert-A und Zert-B) die beide gleichzeitig den Diensten IIS, POP, SMTP und Web zugeordnet sind.
Nun möchten wir eines der Zertifikate (Zert-A) wieder entfernen, doch das klappt einfach nicht. Ich kann zwar ein weiteres Zertifikat (Zert-C) erstellen und dieses dann dem SMTP POP, SMTP und IIS Dienst zuordnen, doch damit habe ich dann einfach nur 3 gültige Zertifikate den Diensten zugeordnet. Der eigentliche Mechanismus, dass durch die Neuzuordnung das neue Zertifikat automatisch als internes Zertifkat eingesetzt wird und ich das obsolete Zertifikat (Zert-A) löschen kann, funktioniert einfach nicht.
Wie kriege ich es hin, dass nur noch ein einzelnes Zertifikat den Diensten zugeordnet ist, also wie entferne ich das obsolete Zertifikat?
LG
CLEO
Wir haben in unserem Exchange 2016 zwei gültige Zertifikate (Zert-A und Zert-B) die beide gleichzeitig den Diensten IIS, POP, SMTP und Web zugeordnet sind.
Man kann dem IIS keine zwei Zertifikate gleichzeitig zuweisen und bei den anderen Diensten wird das jeweils aktuellste passend zum Namen gewählt, wenn mehrere aktiv sind. Ausnahmen explizit gebundene Zertifikate an Sende/Empfangsconnectoren.
Wie kriege ich es hin, dass nur noch ein einzelnes Zertifikat den Diensten zugeordnet ist, also wie entferne ich das obsolete Zertifikat?
Im "worst case" per certlm.msc ;) Hinterher aber definitiv prüfen, dass man das richtige gelöscht hat und der Exchange auch noch komplett funktioniert. Alles kein Hexenwerk, also nicht in Panik verfallen.
Hallo @norbertfe
Vielen Dank für deine Antwort
Ausnahmen explizit gebundene Zertifikate an Sende/Empfangsconnectoren.
Unser Ziel ist, das Zertifikat mit dem Thumbprint "A0AD4F54494E586818DF4972426..." zu eliminieren.
Wäre es möglich, dass dieses Zertifikat explizit gebunden ist? und falls ja, wie kann ich es lösen?
[PS] C:\Windows\system32> Get-ExchangeCertificate
Thumbprint Services Subject
---------- -------- -------
88C7B5177B99BBDB9759662F6225B61644E15A1F IP.WS.. CN=SRV-EX2016, OU=Exchange, OU=Computer, DC=contoso, DC=com
A0AD4F54494E586818DF4972426B354F6BE5CC14 IP..S.. CN=SRV-EX2016, OU=Exchange, OU=Computer, DC=contoso, DC=com
3BF73224C9BEF5AC94898E5EF11E0183B02EBF36 ....S.. CN=Microsoft Exchange ACS Certificate
27010B4E0A246E0DBB708723C1A85181C3EAA799 ....S.. CN=WMSvc-SHA2-SRV-EX2016[PS] C:\Windows\system32>
Wie man sieht, gibts bei A0A... keinen Eintrag für W ;)
Wo hakt es denn?
Hallo nochmal, Sorry ich war irgendwie "ausgesperrt". 🤔
Ok, also folgendes Situation: Unser Exchange verwaltet 3 Domänen.
Alle Postfächer haben per Default einen SMTP für jede dieser Domäne - also
Alice@domäneA.com
Alice@domäneB.com
Alice@domäneC.com
Seit ein paar Tagen erreichen die E-Mails, die an domäneB oder domäneC gesendet werden nicht mehr den Empfänger.
Die Fehlermeldung ist stets "Deferred: Connection timed out with [Unsere Connector IP]" Status 4.0.0, "Transient failure".
Das ist komischerweise erst seit etwa 1-2 Wochen so.
Mein Boss meinte nun es könne an den SAN Zertifikaten liegen, denn in deren registrierten DNS Aliase sind die beiden Domänen (domäneB und domäneC) nicht aufgeführt.
Also wollten wir zum einen mit der Situation aufräumen, dass wir zwei gleich gültige Zertifikate auf allen Diensten registriert haben - es soll nur noch ein Zertifikat existieren und zwotens soll ein neues Zertifikat auf die Dienste registriert werden das die beiden anderen domänen im DNS Alias enthält, verbunden mit der Hoffnung, dass hernach die E-Mails die an die beiden Neben-domänen gesendet werden, wieder erfolgreich zugestellt werden.
Und nun hat sich gestern das Folgende ereignet:
wir haben das Zertifikat mit dem Thumbnail "A0AD4F54494E586818DF4972426B354F6BE5CC14" aus dem Zertifikatspeicher des Exchange Servers gelöscht und erhalten jetzt in der Exchange Management Konsole beim Befehl "Get-ExchangeCertificate" eine LEERE Liste, während die anderen noch immer vorhandenen Zertifikate im Web-Backend des Exchange weiterhin angezeigt und auch den Diensten weiter zugeordnet sind.
Ich habe keine Ahnung (ganz ehrlich) was da los ist!
Liebe Grüße
Mein Boss meinte nun es könne an den SAN Zertifikaten liegen, denn in deren registrierten DNS Aliase sind die beiden Domänen (domäneB und domäneC) nicht aufgeführt.
Und in dem alten Zertifikat war das der Fall oder wie? So oder so, wäre halt zu klären, wie die Konfiguration der Domains hinsichtlich mx Record usw. ist um da einen Zusammenhang feststellen oder ausschließen zu können.
beim Befehl "Get-ExchangeCertificate" eine LEERE Liste
Dann ist aber das Auth Zert abgelaufen. Kann das sein?
Bye
Norbert
Und in dem alten Zertifikat war das der Fall oder wie? So oder so, wäre halt zu klären, wie die Konfiguration der Domains hinsichtlich mx Record usw. ist um da einen Zusammenhang feststellen oder ausschließen zu können.
Nee... in dem alten Zertifikat waren die beiden Neben-Domänen auch nicht enthalten. Ich werde Montag die MX Records mal dahingehend überprüfen was da drin steht.
Dann ist aber das Auth Zert abgelaufen. Kann das sein?
Das wäre mir neu, aber auch das kann ich testen und dann das neue Zertifikat ja als Auth Zertifikat einrichten.
Was sagt dir denn der Healthchecker?
Für den Healthcecker ist im Grunde alles im "Grünen Bereich"
(...)
Valid Internal Transport Certificate Found On Server: True
Valid Auth Certificate Found On Server: True
AMSI Enabled: True
AMSI Request Body Scanning: False
AMSI Request Body Size Block: False
SerializedDataSigning Enabled: True
Strict Mode disabled: False
BaseTypeCheckForDeserialization disabled: False
Exchange Emergency Mitigation Service: Enabled
(...)
Und der MX ist auch soweit korrekt: wir haben vor unserem Exchange einen externen dienst der E-Mails filtert und dann erst an unseren Echange durchreicht. Bei diesem laufen auch die Fehlermeldungen "Deferred: Connection timed out with [Unsere Connector IP]" Status 4.0.0, "Transient failure" auf.
Ich kann leider erst wieder Montag weitermachen, weil ich noch eine Software weiter testen muss...
Aber nur damit das nicht vergessen wird: Vielen Dank Norbert, dass du mir hierbei helfen willst! 👍🙂
