Hallo zusammen
Bei unserem Exchange 2016 Cluster steht eine Erneuerung des Wildcard Zertifikates an.
Bisher haben wir immer einen neuen CSR ausgestellt, und ein neues Zertifikat beim CA beantragt.
Nun wurde aber dieses Jahr das Zertifikat nicht neu beantragt sondern das bestehende bei der CA verlängert.
Damit gibt es auf dem Exchange Server ja keine ausstehende Erneuerung basierend auf einem CSR.
Ich habe eine certificate.crt und eine intermediate.pem erhalten.
Letztere werde ich vermutlich nicht benötigen, da sich die Zwischen-Zertifizierungstelle nicht geändert hat.
Was muss ich denn tun, um das erneuerte Zertifikat auf dem Exchange Server zu installieren?
Alle Hinweise und Artikel ich gefunden habe, beziehen sich auf eine Neubeantragung und legen den CSR zu Grunde.
Danke schon mal
Alexander
Geh auf einen der Exchangeserver auf denen das alte Zertifikat läuft. Importiere die .crt Datei in den Machine Store (certlm.msc) Dann cmd aufrufen
certutil -repairstore my thumbprint des neuen Zertifikats
Danach kannst du das entweder an jedem anderen Exchange wiederholen, oder du exportierst es dir einmal als pfx und importierst es neu. Danach dann noch den Diensten zuweisen.
Bye
Norbert
PS: Grüße ebenfalls aus Potsdam
@norbertfe
Dankeschön, das werde ich mal versuchen und gebe dann nochmal Feedback.
LG
Alexander
So, nun kam ich endlich dazu, dass einmal durchzuführen.
Hat auch wunderbar geklappt, danke nochmal @norbertfe
Da ein paar mehr Schritte dazugehören und der eine oder andere das eventuell auch brauchen kann, diese Schritte hier einmal aufgelistet:
1. Bei der CA das Zertifikat erneuern (crt Datei + ggf. Intermediate)
2. Import crt File (+ ggf. Intermediate) auf den Exchange Servern (via certlm.msc als admin)
3. S/N des importierten Zertifikates kopieren (Doppelklick auf dem importieren Zertifikat, in den Eigenschaften zu finden)
4. in einer Admin-CMD folgendes eingeben
certutil -repairstore my "SerialNumber"
5. In einer als Admin gestarteten Exchange Management Shell folgendes eingeben:
Enable-ExchangeCertificate -Server "EXCH01" -Thumbprint <Thumbprint> -Services SMTP,IIS //hier ggf. mehr Services angeben(z.B. POP oder IMAP)
$cert = Get-ExchangeCertificate -Thumbprint <paste the thumbprint in here from previous command>
$tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
Set-SendConnector "Outbound to Office 365" -TlsCertificateName $tlscertificatename
Set-ReceiveConnector "EXCH01\Default Frontend EXCH01" -TlsCertificateName $tlscertificatename
ACHTUNG
Set-SendConnector muss für jeden extern kommunizierenden Connector gemacht werden, allerdings nur auf einem der Exchange Server, da diese global sind.
Set-ReceiveConnector muss für jeden Exchange Server gesondert gemacht werden, da diese Serverspezifisch sind (sieht man ja auch am Eingabe String)
6. Mailversand testen OnPrem <> M365 UND OnPrem <> extern
7. Im M365 den Outbound Connector validieren
8. Wenn alles klappt, kann das alte Zertifikat aus den Exchange Servern entfernt werden (via EMC)
Wenn hierbei eine Meldung kommt, dass dieses noch verwendet wird, wurde vermutlich ein Sendeconnector vergessen zu updaten. 😉
Da ein paar mehr Schritte dazugehören und der eine oder andere das eventuell auch brauchen kann, diese Schritte hier einmal aufgelistet:
1. Bei der CA das Zertifikat erneuern (crt Datei + ggf. Intermediate)
2. Import crt File (+ ggf. Intermediate) auf den Exchange Servern (via certlm.msc als admin)
3. S/N des importierten Zertifikates kopieren (Doppelklick auf dem importieren Zertifikat, in den Eigenschaften zu finden)
4. in einer Admin-CMD folgendes eingeben
Das sind genau die Schritte, die ich oben erwähnt habe, nur dass du die Seriennummer und nicht den Thumbprint nutzt. Ist am Ende aber auch egal.
Die Zuweisung zu den Sende/Empfangsconnectoren muss man auch nur machen, wenn die eigene Konfiguration das erfordert. ;) Das ist also nix, was man zwingend immer machen muss.
Aber schön, wenns jetzt funktioniert.
Bye
Norbert