Wildcard Zertifikat...
 
Notifications
Clear all

Wildcard Zertifikat renewal ohne CSR?

5 Posts
2 Users
1 Reactions
1,517 Views
(@derpotsdamer)
Active Member
Joined: 2 years ago
Posts: 6
Topic starter  

Hallo zusammen

Bei unserem Exchange 2016 Cluster steht eine Erneuerung des Wildcard Zertifikates an.
Bisher haben wir immer einen neuen CSR ausgestellt, und ein neues Zertifikat beim CA beantragt.
Nun wurde aber dieses Jahr das Zertifikat nicht neu beantragt sondern das bestehende bei der CA verlängert.
Damit gibt es auf dem Exchange Server ja keine ausstehende Erneuerung basierend auf einem CSR.

Ich habe eine certificate.crt und eine intermediate.pem erhalten.
Letztere werde ich vermutlich nicht benötigen, da sich die Zwischen-Zertifizierungstelle nicht geändert hat.

Was muss ich denn tun, um das erneuerte Zertifikat auf dem Exchange Server zu installieren?
Alle Hinweise und Artikel ich gefunden habe, beziehen sich auf eine Neubeantragung und legen den CSR zu Grunde.

Danke schon mal
Alexander


   
Quote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Geh auf einen der Exchangeserver auf denen das alte Zertifikat läuft. Importiere die .crt Datei in den Machine Store (certlm.msc) Dann cmd aufrufen

certutil -repairstore my thumbprint des neuen Zertifikats

Danach kannst du das entweder an jedem anderen Exchange wiederholen, oder du exportierst es dir einmal als pfx und importierst es neu. Danach dann noch den Diensten zuweisen.

 

Bye

Norbert

 

PS: Grüße ebenfalls aus Potsdam

 

 

 

 


   
ReplyQuote

(@derpotsdamer)
Active Member
Joined: 2 years ago
Posts: 6
Topic starter  

@norbertfe 
Dankeschön, das werde ich mal versuchen und gebe dann nochmal Feedback.

LG
Alexander


   
ReplyQuote
(@derpotsdamer)
Active Member
Joined: 2 years ago
Posts: 6
Topic starter  

So, nun kam ich endlich dazu, dass einmal durchzuführen.
Hat auch wunderbar geklappt, danke nochmal @norbertfe

Da ein paar mehr Schritte dazugehören und der eine oder andere das eventuell auch brauchen kann, diese Schritte hier einmal aufgelistet:

1. Bei der CA das Zertifikat erneuern (crt Datei + ggf. Intermediate)
2. Import crt File (+ ggf. Intermediate) auf den Exchange Servern (via certlm.msc als admin)
3. S/N des importierten Zertifikates kopieren (Doppelklick auf dem importieren Zertifikat, in den Eigenschaften zu finden)
4. in einer Admin-CMD folgendes eingeben

certutil -repairstore my "SerialNumber"

5. In einer als Admin gestarteten Exchange Management Shell folgendes eingeben:

Enable-ExchangeCertificate -Server "EXCH01" -Thumbprint <Thumbprint> -Services SMTP,IIS //hier ggf. mehr Services angeben(z.B. POP oder IMAP)

$cert = Get-ExchangeCertificate -Thumbprint <paste the thumbprint in here from previous command>
$tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
Set-SendConnector "Outbound to Office 365" -TlsCertificateName $tlscertificatename
Set-ReceiveConnector "EXCH01\Default Frontend EXCH01" -TlsCertificateName $tlscertificatename

ACHTUNG
Set-SendConnector muss für jeden extern kommunizierenden Connector gemacht werden, allerdings nur auf einem der Exchange Server, da diese global sind.
Set-ReceiveConnector muss für jeden Exchange Server gesondert gemacht werden, da diese Serverspezifisch sind (sieht man ja auch am Eingabe String)

6. Mailversand testen OnPrem <> M365 UND OnPrem <> extern
7. Im M365 den Outbound Connector validieren
8. Wenn alles klappt, kann das alte Zertifikat aus den Exchange Servern entfernt werden (via EMC)
Wenn hierbei eine Meldung kommt, dass dieses noch verwendet wird, wurde vermutlich ein Sendeconnector vergessen zu updaten. 😉


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Posted by: @derpotsdamer

Da ein paar mehr Schritte dazugehören und der eine oder andere das eventuell auch brauchen kann, diese Schritte hier einmal aufgelistet:

1. Bei der CA das Zertifikat erneuern (crt Datei + ggf. Intermediate)
2. Import crt File (+ ggf. Intermediate) auf den Exchange Servern (via certlm.msc als admin)
3. S/N des importierten Zertifikates kopieren (Doppelklick auf dem importieren Zertifikat, in den Eigenschaften zu finden)
4. in einer Admin-CMD folgendes eingeben

Das sind genau die Schritte, die ich oben erwähnt habe, nur dass du die Seriennummer und nicht den Thumbprint nutzt. Ist am Ende aber auch egal.

 

Die Zuweisung zu den Sende/Empfangsconnectoren muss man auch nur machen, wenn die eigene Konfiguration das erfordert. ;) Das ist also nix, was man zwingend immer machen muss.

 

Aber schön, wenns jetzt funktioniert.

 

Bye

Norbert


   
DerPotsdamer reacted
ReplyQuote
Share: