Erneuerung Zertifik...
 
Benachrichtigungen
Alles löschen

Erneuerung Zertifikat Exchange

15 Beiträge
4 Benutzer
0 Reactions
1,506 Ansichten
(@rene-78)
Active Member
Beigetreten: Vor 5 Monaten
Beiträge: 7
Themenstarter  

Hallo,

wir haben ein mittelschweres Problem mit unserem Exchange Server 2019. Das CA und Exchange Zertifikat ist abgelaufen. Soweit so gut. CA erneuert und das Microsoft Exchange Zertifikat mit Frankys Script erstellt. Hat auch alles geklappt, nur Outlook oder die OWA will ums verrecken nicht das neue Zertifikat benutzen. Löschen wir die alten Zertifikate ist kein Zugriff mehr auf die Admin Seite des Exchange, kein Zugriff auf die OWA und kein Zugriff mehr von Outlook auf den Exchange (keine Verbindung zum Exchange Server). Ich nehme stark an, das wir die Einstellungen für das FrontEnd anpassen müssen oder ich bin auf dem falschen Pfad, aber langsam gehen mir die Ideen aus...... Weiß von euch jemand eine Lösung?


   
Zitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Welches Skript und welche Zertifikate habt ihr jetzt genutzt? Habt ihr das neue Zertifikat auch an die entsprechenden Dienste gebunden? Ist auch das Auth-Zertifikat abgelaufen?


   
AntwortZitat

 ths
(@ths)
Active Member
Beigetreten: Vor 6 Monaten
Beiträge: 8
 

Was sagt denn Get-ExchangeCertificate in der Management Shell?

Bei Probleme würde ich der Shell mehr vertrauen als dem Admin Center.
Wenn du also die neuen Zertifikate über das Admin Center den Services zugewiesen hast, würde ich es noch mal über die Management Shell machen.

Du kannst auch noch mal direkt im IIS schauen, ob bei den Bindings das korrekte Zertifikat ausgewählt ist. Ob man es direkt im IIS ändern sollte, weiß ich aber auch nicht...


   
AntwortZitat
(@rene-78)
Active Member
Beigetreten: Vor 5 Monaten
Beiträge: 7
Themenstarter  

Also wir haben das Script New-ExchangeBackEndCertificate.ps1 von hier verwendet. Die Dienst sind korrekt zugewiesen, und ja das Auth Zertifikat ist auch abgelaufen. Da es sich hierbei um eine VM handelt, könnten wir auch ein bisschen rumexperimentieren. Durch die Prüfpunkte können wir, falls es nicht funktioniert, alles zurücksetzen (ca. 10sek) Im IIS Backend ist das Zertifikat korrekt zugewiesen, das interessiert Outlook aber nicht die Bohne.....


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Wenn das Zertifikat und dass ca Zertifikat abgelaufen ist, wieso wechselt ihr dann das backendzertifikat? Ihr müsst in dem Fall doch das frontend Zertifikat tauschen. Und im iis bitte nichts konfigurieren, das erledigt man normalerweise alles über die Exchange Management Shell oder die eac.


   
AntwortZitat
(@rene-78)
Active Member
Beigetreten: Vor 5 Monaten
Beiträge: 7
Themenstarter  

Ja das ist schon richtig, die Frage war ja was wir falsch konfiguriert haben. Beide Seiten verwenden ja das gleiche Zertifikat, FrontEnd und BackEnd. Also haben wir nur vergessen das Zertifikat im FrontEnd anzupassen. Sehe ich das richtig?


   
AntwortZitat

(@dartzen)
Estimable Member
Beigetreten: Vor 4 Jahren
Beiträge: 120
 

Mir scheint du wirfst hier einiges durcheinander. Das Backendzertifikat ist immer ein vom Exchange selbst erstelltes und selbstsigniertes Zertifikat, das kannst du z.Bsp. mit Frankys Skript erneuern, wenn notwendig. Das Frontendzertifikat ist davon unabhängig, das ist das, was u.a. die Clients abfragen. Hier muss dann entweder das von eurer CA signierte rein, oder besser eins, dem auch öffentlich vertraut wird. Da müssen dann die passenden Namen rein. Dieses darfst du aber wiederum nicht als Backendzertifikat benutzen. 

Und wie Norbert schon geschrieben hat, auf keinen Fall im IIS an den Zertifikaten was ändern, das macht die EAC bzw. die Management Shell für dich.


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Veröffentlicht von: @rene-78

Beide Seiten verwenden ja das gleiche Zertifikat, FrontEnd und BackEnd.

 

nein, normalerweise verwendet der backendbereich das selfsigned (5 Jahre Laufzeit per default) und der frontendbereicj verwendet ein Zertifikat einer ca.

 

Diese r Beitrag wurde geändert Vor 5 Monaten von NorbertFe

   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Veröffentlicht von: @rene-78

Also haben wir nur vergessen das Zertifikat im FrontEnd anzupassen. Sehe ich das richtig?

Möglich, aber da du ja nur „allgemein“ schreibst, kann man auch nur allgemein antworten. Wenn ihr das neue Zertifikat nicht für die Webserver aktiviert habt…


   
AntwortZitat
(@rene-78)
Active Member
Beigetreten: Vor 5 Monaten
Beiträge: 7
Themenstarter  

Jetzt bin ich langsam komplett verwirrt.... 🤔 Wo sehe ich das BackEnd und wo das FrontEnd Zertifikat?

 

Thumbprint Services Subject
---------- -------- -------
3122F64353F2AED6196F7AAE8506379FF94898D8 .......    CN=Microsoft Exchange Server Auth Certificate
A0117781851BC01C87C71C6F1C7505C069BA9414 IP.W... CN=Exchange
82BD2F0364CE45717219A13E3092853BA34B9D45 .......   CN=WMSvc-SHA2-EXCHANGE

 

So ist im Moment die Konstellation.. Die ersten beiden Zertifikate sind abgelaufen.


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Du hast also kein ca certificate sondern nur selfsigned. Dann erstelle dir neue Zertifikate.

1. Exchange auth cert:

https://blog.icewolf.ch/archive/2018/03/20/exchange-2016-renew-microsoft-exchange-server-auth-certificate/

2. erstelle ein neues Zertifikat für die backend und frontenddienste.

Get-exchangecertificate A0117781851BC01C87C71C6F1C7505C069BA9414 | new-exchangecertificate -privatekeyexportable $true

Dieses Zertifikat bindest du an die ganzen Dienste entweder per each oder enable-exchangecertificate danach gehst du in den iis und wählst auf der backend Site die Bindungen aus und wählst dort dieses neue Zertifikat aus.

 

danach warten wir hier auf deine Rückmeldung.

 

und wenn du mit selfsigned Zertifikaten rummachst werden deine outlooks natürlich nicht verbinden weil sie dem neuen Zertifikat nicht vertrauen. Das musst du also auch erledigen.


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Veröffentlicht von: @norbertfe

Ist auch das Auth-Zertifikat abgelaufen?

Man hätte diese Frage auch einfach ganz am Anfang beantworten können. ;)


   
AntwortZitat

(@rene-78)
Active Member
Beigetreten: Vor 5 Monaten
Beiträge: 7
Themenstarter  

Vielen Dank, genau danach habe ich gesucht! Ich melde mich, wenn ich es getestet habe... 👍 


   
AntwortZitat
(@rene-78)
Active Member
Beigetreten: Vor 5 Monaten
Beiträge: 7
Themenstarter  

Es hat alles einwandfrei funktioniert! Vielen Dank an alle die geholfen haben, das Problem zu lösen! 😀 


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Sehr gut. :)


   
AntwortZitat
Teilen: