Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 2)

In Teil 1 wurden bereits die Vorbereitungen für Let’s Encrypt Zertifikate und Exchange 2010 durchgeführt. Dieser Artikel baut daher direkt auf Teil 1 auf.

In Teil 1 wurde die Exchange Organisation entsprechend angepasst, daher geht es in Teil 2 direkt weiter mit der Konfiguration den öffentlichen DNS.

Ich habe ich noch vergessen zu erwähnen, dass die komplette Umgebung auf Windows Server 2008 R2 installiert ist. Ich habe mich absichtlich für Server 2008 R2 entschieden, da es für Exchange 2010 eine weit verbreitete Plattform ist.

Öffentliches DNS

Damit Exchange über das Internet erreichbar ist, müssen am Öffentlichen DNS Server ebenfalls die entsprechenden DNS Einträge erstellt werden. In meinem Fall nutze ich Strato als Provider, daher werden dort auch die DNS Einträge erstellt. Damit Let’s Encrypt die DNS-Namen die später auf dem Zertifikat stehen sollen validieren kann, muss die Let’s Encrypt CA den Exchange Server mittels Port 80 (http) erreichen können. Daher werden die 3 DNS Namen auch am öffentlichen DNS Server bekannt gemacht:

  • autodiscover.frankysweb.org
  • outlook.frankysweb.org
  • outlook.int.frankysweb.org

Die DNS Namen verweisen jeweils auf die öffentliche IP des Exchange Servers. In diesem Szenario ist es die WAN IP des Routers:

Let' Encrypt Zertifikate

Der Router hat ein ein Portforward für Port 80 und 443 auf den Exchange Server konfiguriert:

image

Es muss also sichergestellt sein, dass die konfigurierten DNS Namen aus dem ersten Teil auch aus dem Internet erreichbar sind. Im Prinzip lässt sich dass ganz einfach prüfen, wenn unter jeder URL eine IIS Testseite aufgerufen werden kann, passt die Konfiguration.

image

An dieser Stelle dürfen die Browser übrigens noch eine Zertifikatswarnungen anzeigen, denn das gültige Zertifikat muss erst noch erstellt beantragt werden.

Let’s Encrypt

Meine Demoumgebung läuft auf Windows Server 2008 R2. Ich habe absichtlich den Exchange 2010 Server auf Server 2008 R2 installiert, denn diese Konstellation dürfte noch recht weit verbreitet sein.

Server 2008 R2 wird mit der PowerShell 2.0 ausgeliefert, diese ist nicht mehr zeitgemäß und muss daher aktualisiert werden, damit die nachfolgende Script funktioniert.

Für Server 2008 R2 und Exchange 2010 wird die PowerShell 4 unterstützt, daher kann das Windows Management Framework 4.0 installiert werden:

Windows Management Framework 4.0

das Windows Management Framework enthält unter anderem die PowerShell in der Version 4. Nach der Installation sollte der Befehl “get-host” die Version 4 der PowerShell anzeigen:

image

Hinweis: Die Exchange Management Shell wird weiterhin mit der PowerShell 2 gestartet, dies ist normal und verursacht keine Probleme für den weiteren Verlauf:

image

Nachdem die PowerShell Version aktualisiert wurde, muss PowerShellGet installiert werden, erst dann sind die nötigen CMDLets verfügbar um den LetsEncrypt Client zu installieren. Der entsprechende Download findet sich hier:

PowerShell Gallery

image

Nachdem PowerShellGet installiert wurde, stehen die CMDLets für die Installation bereit, jetzt kann der Let’s Encrypt Client “ACMESharp” installiert werden:

install-module -name ACMESharp

image

Jetzt ist es fast geschafft, denn die aktuelle Version des “Certtificate Assistant” unterstützt nun auch Exchange 2010.

Hinweis: Björn hat den ursprünglichen “Certificate Assistant” angepasst, damit er auch mit Exchange 2010 funktioniert. Seine Anpassungen haben in meiner Umgebung einwandfrei funktioniert. Ich habe dann noch einen Fehler beseitigt der auf meinem Mist gewachsen ist. Der Dank an dieser Stelle gehört also Björn!

Die aktuelle Version des “Certificate Assistant” gibt es hier:

Nach dem Download muss das Script nur noch mit der PowerShell 4 ausgeführt werden. Bitte nicht die Exchange Management Shell verwenden, sondern die zuvor aktualisierte Version der “normalen” Windows PwoerShell.

Ein Task zur Automatischen Erneuerung des Zertifikats kann ebenfalls direkt im Script angelegt werden:

image

Falls es bisher noch keine Registrierung bei Let’s Encrypt gegeben hat, wird der folgende Fehler angezeigt:

image

Das Script führt dann die Registrierung durch, beantragt das Zertifikat und weißt es dem Exchange Server zu:

Let's Encrypt Zertifikat

78 thoughts on “Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 2)”

  1. Hallo zusammen,

    erst mal vorab, Hut ab, wenn es funktioniert eine wirklich Super Sache!

    Ich bin leider in der Situation das die Validierung weitestgehend erfolgt ist, ich aber zum Abschluss eine Fehlermeldung erhalte. Ich habe das Script als Domänenadministrator ausgeführt, und normalerweise sollte es keinen Fehler geben (ich habe als Domänen-Admin (Gruppenmitgliedschaft) und als Benutzer Vollzugriffsberechtigung [nach unten vererbt], dachte ich zumindest).

    Ich möchte das Script jetzt nicht noch einmal ausführen, nicht das mir Let’s Encrypt Probleme macht.

    Hat jemand eine Idee woran das liegen kann?

    —————————————————————————
    Alle Informationen sind vorhanden, soll das Zertifikat konfiguriert werden?
    —————————————————————————

    Konfiguration starten? (Enter für Weiter / STRG+C zum Abbrechen:

    Prüfe ob bereits ein Vault existiert…
    Prüfe Let’s Encrypt Registrierung…
    Neuer Identifier:
    DNS: autodiscover.drk-kv-he.de
    Alias: Cert100820190644-1
    Validierung vorbereiten:
    Alias Cert100820190644-1
    Neuer Identifier:
    DNS: mail.drk-kv-he.de
    Alias: Cert100820190644-2
    Validierung vorbereiten:
    Alias Cert100820190644-2
    Neuer Identifier:
    DNS: mail.int.drk-kv-he.de
    Alias: Cert100820190644-3
    Validierung vorbereiten:
    Alias Cert100820190644-3
    Let’s Encrypt IIS Verzeichnis auf HTTP umstellen…
    Umstellung auf HTTP erfolgreich
    DNS Namen durch Let’s Encrypt validieren lassen…
    Validierung durchführen: Cert100820190644-1
    Validierung durchführen: Cert100820190644-2
    Validierung durchführen: Cert100820190644-3
    30 Sekunden warten…
    Prüfe ob die DNS-Namen validiert wurden…
    Update Alias: Cert100820190644-1
    Validierung OK
    Update Alias: Cert100820190644-2
    Validierung OK
    Update Alias: Cert100820190644-3
    Validierung OK
    Submit-ACMECertificate : Der Zugriff auf den Pfad
    „C:\ProgramData\ACMESharp\sysVault\45-KEYPM\a2b9a408-8cf5-403f-9a04-b6391632f902-key.pem“ wurde verweigert.
    In C:\Service\Script\CertificateAssistant.ps1:324 Zeichen:20
    + $SubmitNewCert = Submit-ACMECertificate $SANAlias
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Submit-ACMECertificate], UnauthorizedAccessException
    + FullyQualifiedErrorId : System.UnauthorizedAccessException,ACMESharp.POSH.SubmitCertificate

    30 Sekunden warten…
    Prüfe das Zertifikat…
    Update-ACMECertificate : Certificate has not been submitted yet; cannot update status
    In C:\Service\Script\CertificateAssistant.ps1:332 Zeichen:20
    + $UpdateNewCert = Update-ACMECertificate $SANAlias
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Update-ACMECertificate], Exception
    + FullyQualifiedErrorId : System.Exception,ACMESharp.POSH.UpdateCertificate

    Fehler: Zertifikat wurde nicht ausgestellt
    PS C:\Service\Script>

    Andreas

    Reply
  2. Guten Tag

    nach erfolgreichem „install-module“ suche ich vergebens das Skript bzw die Anleitung um das Skript in Betrieb nehmen zu können (Entschuldigung – kein Profi)

    Der Skript-Link ist blind – was kann ich unternehmen ?

    Reply
  3. Hallo,

    erstmal vielen Dank für den tollen Guide. Es funktioniert soweit auch fast alles. Nur ein Problem habe ich noch mit dem Abrufen der Mails von Android per GMail App. Ich bekomme hier immer die Meldung, dass das Zertifikat nicht gültig ist.
    An andere Stelle habe ich gelesen, dass es wohl am unbekannten intermediate Zertifikat „Let’s Encrypt Authority X3“ liegt. Das wird wohl nicht mitgeschickt und ist Android unbekannt.

    Hat jemand eine Idee wie man das lösen kann? Ich habe leider nichts gefunden um die Zertifikate zu kombinieren oder es sonst wie mitzuschicken.

    Vielen Dank schon mal!

    Reply
    • Hallo Hakan,
      du kannst das Zwischenzertifikat „Let’s Encrypt Authority X3“ auf dem Exchange Server im Zertifikatsspeicher „Zwischenzertifizierungsstellen“ (Computer) einfügen. So wird das das Zwischenzertifikat vom Server gesendet und damit sollte auch die komplette Kette vertrauenswürdig sein.
      Gruß,
      Frank

      Reply
  4. @alexj

    das ist bei einem frisch installierten windows 10 mit office 2016 und einem neuen postfach.

    der pc ist nicht in der domäne und es soll von extern (zu hause) auf exchange zugegriffen werden

    Reply
  5. @Matthias
    Outlook meldet vermutlich Zertifikatsfehler. Bisher Internen Servernamen für die Verbindung verwendet?
    Wenn ja, vermutlich ein unlösbares Problem, außer das Postfach wird am Outlook Client neu mit den externen Namen eingerichtet. Am besten ein neues Profil anlegen.

    Reply
  6. Ich habe ein Problem mit SBS2011 und dem hier beschriebenen Vorgang.

    Grundsätzlich scheint es gut zu funktionieren, DNS ist gesplittet, extern und intern entsprechend eingerichtet.
    LetsEncrypt stellt mir das Zertifikat, es wird eingebunden (SMTP, IMAP, POP, IIS)

    registriert sind mail.domain.tld, autodiscover.domain.tld, webmail.domain.tld, …

    browser erkennen alles richtig, owa geht, zertifikat passt.
    thunderbird geht auch (imap/smtp)

    aber outlook zickt rum. der microsoft test ist nutzlos weil das captcha mal wieder nicht geht. ich habe es mit dem test zum downloaden im internet explorer probiert (microsoft connectivity analzyer tool http://go.microsoft.com/fwlink/?LinkID=313782 )

    dort sowohl als auch in outlook 2016 gibt es probleme. es scheint, als würde er autodiscover mit dem zertifikat nicht akzeptieren, weil der name des zertifikats mail.domain.tld ist und autodiscover.domain.tld ist „nur“ included.

    macht mich wahnsinnig. erfahrungen? ideen?

    Reply
  7. Moin,
    ich möchte das Let´sEncrypt auf einem WIndows Server 2008 R2 Standard mit einem Exchange 2010 installieren.
    Leider bekomme ich am ende die folgende Fehlermeldung:
    Alias: Cert271120181254-1
    Validierung vorbereiten:
    Alias Cert271120181254-1
    Complete-ACMEChallenge : the given identifier was not found in the registry
    In C:\Users\administrator.HOTEL\Desktop\CertificateAssistant\CertificateAssistant.ps1:273 Zeichen:20
    + $ValidateReq = Complete-ACMEChallenge $ACMEAlias -ChallengeType http-01 -Han …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Complete-ACMEChallenge], KeyNotFoundException
    + FullyQualifiedErrorId : System.Collections.Generic.KeyNotFoundException,ACMESharp.POSH.CompleteChallenge

    Let’s Encrypt IIS Verzeichnis auf HTTP umstellen…
    Umstellung auf HTTP erfolgreich
    DNS Namen durch Let’s Encrypt validieren lassen…
    Validierung durchführen: Cert271120181254-1
    Submit-ACMEChallenge : challenge has not been decoded
    In C:\Users\administrator.HOTEL\Desktop\CertificateAssistant\CertificateAssistant.ps1:297 Zeichen:17
    + $Validate = Submit-ACMEChallenge $ACMEAlias -ChallengeType http-01
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Submit-ACMEChallenge], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,ACMESharp.POSH.SubmitChallenge

    Prüfe ob die DNS-Namen validiert wurden…
    Update Alias: Cert271120181254-1
    Fehler: Validierung für Alias Cert271120181254-1 fehlgeschlagen

    Woran liegt es das der Fehler auftaucht?
    Danke für Hilfe

    Reply
    • Hallo,

      ich hatte den selben Fehler „the given identifier was not found in the registry“ und es lag daran, dass das IIS Modul für ACMESharp fehlte.
      Mit der folgenden ACMESharp Installation funktionierte das Script auf meinem WIndows Server 2008 R2 Standard mit Exchange 2010:

      Admin PS> Install-Module -Name ACMESharp -AllowClobber
      Admin PS> Install-Module -Name ACMESharp.Providers.IIS

      ## Enable extension modules needed for IIS
      Admin PS> Import-Module ACMESharp
      Admin PS> Enable-ACMEExtensionModule -ModuleName ACMESharp.Providers.IIS

      ## Verify the module was enabled
      Admin PS> Get-ACMEExtensionModule | Select-Object -Expand Name
      ## You should see this:
      ACMESharp.Providers.IIS

      Ich habe dies auf folgender Website gefunden:
      https://pkisharp.github.io/ACMESharp-docs/Quick-Start.html

      Reply
  8. Danke Ralf,
    Das war die Lösung.
    ACME-Modul deinstalliert und über das Script neu installieren lassen.
    Dann ging’s ohne Probleme.

    Reply
  9. Vielleicht ist das eine Lösung, ich hatte die gleiche Fehlermeldung.
    Bei mir war eine zu neue Version des ACME Moduls installiert.
    Ich habe das Modul deinstalliert und dann vom Skript wieder installieren lassen.
    Danach lief das Script ohne Fehler durch.
    Ich hoffe ich konnte helfen.

    Reply
  10. Hallo Frank,
    ich habe das gleiche Problem wie swrue.
    DNS der drei Adressen werden intern und extern korrekt aufgelöst.
    Bei der Validierung bekomme ich die gleiche Fehlermeldung wie swrue.
    Complete-ACMEChallenge : the given identifier was not found in the registry …
    … Fehler: Validierung für Alias Cert… fehlgeschlagen
    Gibt es dafür eine Lösung?

    Gruß
    Martin

    Reply
  11. Hallo findet hier noch eine Diskussion statt bzw. wird noch zum Thema gepostet?
    Mich interessiert vor allem der SBS2011. Auf dem Ex2010 und 2016 habe ich das Script erfolgreich im Einsatz.
    Vor dem SBS 2011 schrecke ich zurück!
    Powershell 5 ist auf dem SBS 2011 nicht zu installieren, richtig?
    Für das Script reicht aber auch Powershell mindestens Version 3 richtig?
    Dann müssen aber die PSGet Module für die Version 3 installiert werden?
    Der weiter oben befindliche Link für die PSGet Module funktioniert nicht mehr, ggf. wird Google evtl. helfen?!
    Wie kriege ich die PowerShell V3 auf den SBS2011? $Psversiontable auf der SBS Maschine sagt 2.0 wäre installiert ???
    Googlen hat mir leider nicht geholfen – danke für eure Mühe im voraus!!!

    Reply
  12. Hallo Franky und alle,
    mittlerweile konnte ich das Script ausführen und es ist problemlos durchgelaufen bis es zur Zertifikatskonfiguration kam. Bei diese Zertifikatskonfiguration entsteht für alle 3 Webseiten (Autodiscover.my-domain.de, webmail.my-domain.de und webmail.intern.my-domain.de) Probleme. Die original Domain wurde hier in den Fehlermeldung durch my-domain ersetzt. Die Auflösung der DNS Einträge ist von intern und extern gegeben.
    Nachfolgend alle Fehlermeldungen des Scripts mit der Bitte um Hilfe:

    —————————————————————————
    Alle Informationen sind vorhanden, soll das Zertifikat konfiguriert werden?
    —————————————————————————

    Konfiguration starten? (Enter für Weiter / STRG+C zum Abbrechen:

    Prüfe ob bereits ein Vault existiert…
    Prüfe Let’s Encrypt Registrierung…
    Neuer Identifier:
    DNS: autodiscover.my-domain.de
    Alias: Cert091020181246-1
    Validierung vorbereiten:
    Alias Cert091020181246-1
    Complete-ACMEChallenge : the given identifier was not found in the registry
    In C:\Users\SW\Downloads\Power-Shell-4.0\CertificateAssistant.ps1:273 Zeichen:20
    + $ValidateReq = Complete-ACMEChallenge $ACMEAlias -ChallengeType http-01 -Han …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Complete-ACMEChallenge], KeyNotFoundException
    + FullyQualifiedErrorId : System.Collections.Generic.KeyNotFoundException,ACMESharp.POSH.CompleteChallenge

    Neuer Identifier:
    DNS: webmail.my-domain.de
    Alias: Cert091020181246-2
    Validierung vorbereiten:
    Alias Cert091020181246-2
    Complete-ACMEChallenge : the given identifier was not found in the registry
    In C:\Users\SW\Downloads\Power-Shell-4.0\CertificateAssistant.ps1:273 Zeichen:20
    + $ValidateReq = Complete-ACMEChallenge $ACMEAlias -ChallengeType http-01 -Han …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Complete-ACMEChallenge], KeyNotFoundException
    + FullyQualifiedErrorId : System.Collections.Generic.KeyNotFoundException,ACMESharp.POSH.CompleteChallenge

    Neuer Identifier:
    DNS: webmail.intern.my-domain.de
    Alias: Cert091020181246-3
    Validierung vorbereiten:
    Alias Cert091020181246-3
    Complete-ACMEChallenge : the given identifier was not found in the registry
    In C:\Users\SW\Downloads\Power-Shell-4.0\CertificateAssistant.ps1:273 Zeichen:20
    + $ValidateReq = Complete-ACMEChallenge $ACMEAlias -ChallengeType http-01 -Han …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Complete-ACMEChallenge], KeyNotFoundException
    + FullyQualifiedErrorId : System.Collections.Generic.KeyNotFoundException,ACMESharp.POSH.CompleteChallenge

    Let’s Encrypt IIS Verzeichnis auf HTTP umstellen…
    Umstellung auf HTTP erfolgreich
    DNS Namen durch Let’s Encrypt validieren lassen…
    Validierung durchführen: Cert091020181246-1
    Submit-ACMEChallenge : challenge has not been decoded
    In C:\Users\SW\Downloads\Power-Shell-4.0\CertificateAssistant.ps1:297 Zeichen:17
    + $Validate = Submit-ACMEChallenge $ACMEAlias -ChallengeType http-01
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Submit-ACMEChallenge], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,ACMESharp.POSH.SubmitChallenge

    Validierung durchführen: Cert091020181246-2
    Submit-ACMEChallenge : challenge has not been decoded
    In C:\Users\SW\Downloads\Power-Shell-4.0\CertificateAssistant.ps1:297 Zeichen:17
    + $Validate = Submit-ACMEChallenge $ACMEAlias -ChallengeType http-01
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Submit-ACMEChallenge], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,ACMESharp.POSH.SubmitChallenge

    Validierung durchführen: Cert091020181246-3
    Submit-ACMEChallenge : challenge has not been decoded
    In C:\Users\SW\Downloads\Power-Shell-4.0\CertificateAssistant.ps1:297 Zeichen:17
    + $Validate = Submit-ACMEChallenge $ACMEAlias -ChallengeType http-01
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Submit-ACMEChallenge], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,ACMESharp.POSH.SubmitChallenge

    30 Sekunden warten…
    Prüfe ob die DNS-Namen validiert wurden…
    Update Alias: Cert091020181246-1
    Fehler: Validierung für Alias Cert091020181246-1 fehlgeschlagen

    Danke und Gruß,
    swrue

    Reply
  13. Hallo Franky und alle,
    irgendwie scheint der Download Link von Franky’s Script nur auf diese Seite zu verweisen und nicht auf das ZIP File. Oder täusche ich mich?

    Danke und Gruß,
    swrue

    Reply
  14. Hallo Franky;

    tolle Anleitung! Danke, hat auch sofort geklappt, nachdem ich die „.local“ im DNS entfernt hab.

    Ich hab noch eine Frage:
    Wie schützt du den Exchange, wenn Port 80 direkt drauf zeigt?
    Ich hab im Kopf, dass ich wo gelesen hab, dass man Port 80 nur initial braucht, aber ich find es nicht mehr.

    Gruss
    Achim

    Reply
  15. Hallo Frank,

    sicherlich blöde Frage, aber wo genau muss ich im öffentlichen DNS Server die Namen anpassen? Bei meinem Web-Domain-Provider ?

    Viele Grüße
    Carsten

    Reply
  16. Hallo Frank,

    habe den Fehler gefunden. Schreibfehler in der konfiguration. Oh Mann! Jetzt läuft das script durch und das Zertifiakt ist vorhanden.

    Vielen Dank für die tolle Arbeit.

    Reply
  17. Hallo Frank,

    vielen Dank für Deine Arbeit. Die anpassung unseres Exchange 2010 unter Win Server 2008 fuktioniert nach dieser anleitung. Jetzt habe ich das Problem, dass das Script stoppt bei der Vaildierung des DNS Namen für outlook.int.unsere domain. Habe im Netz und in den Kommentaren nichts gefunden. Woran kann das liegen?

    Viele Grüße

    Reply
  18. Durch die Installation von PS4.0 funktionieren die Assistenten von SBS2011 nicht mehr, zum Beispiel der „Adduser“ wirft Fehler beim Anlegen des Exchange Benutzers.
    Es sieht für mich vergleichbar aus mit KB2506143, als PS3.0 per Update auf dem SBS installiert wurde.

    Gibt es eine Möglichkeit den wunderbaren LetsEncrypt Clienten laufen zu lassen, und gleichzeitig die Basisfunktionalität von SBS2011 zu behalten?

    Reply
  19. Hallo zusammen leider funktionier die automatische aufgabe zum erneuern des Zertifikates bei mir auch nicht.
    Das Zertifikat läuft am 12.05.2018 aus und wurde nicht erneuert.
    Dei automatische Aufgabe wird jeden Tag erfolgreich ausgeführt und beendet.
    Woran kann das liegen?

    Reply
  20. @flo: Danke für diesen Hinweis, hat danach bei mir funktioniert.
    SBS2011,Exchange 2010-14.03.0389.001
    ———————————————————————————–
    Für SBS2011 mit PS4.0 User bitte ACMESharp so installieren:
    Install-Module -Name ACMESharp -RequiredVersion 0.8.1
    Sollte ACMESharp in einer höheren Version installiert sein bitte vorher mit diesem Befehl deinstallieren:
    Uninstall-Module ACMESharp
    ———————————————————————————-

    Reply
    • Da die Gültigkeit von LE vorgegeben wird und das Script keinen Einfluss darauf hat dürften es bei jeder Erneuerung (wieder) 90 Tage sein.

      Reply
      • Nein, ich meinte wieviele Tage vor Ablauf der Task das Zertifikat erneuert. Meins läuft morgen ab und es wurde nicht erneuert durch den task.
        Als ich das Script manuell gestartet habe hat’s geklappt.

        Vermutlich hat nein Serviceuser keine Berechtigung das Zertifikat auf dem Server zu erneuern. Mal suchen.

        Reply
  21. Hallo Frank,
    vielen Dank für Deine Mühe.
    Mussten schnell eine Lösung finden, da DigiCert unser gekauftes Zertifikat quasi über Nacht zurückgezogen hat!
    Dank Deines Scripts/Tutorials war es ein Kinderspiel Let’s Encrypt auf unserem Exchange 2010 unter Windows 2012 einzurichten. Wollte ich ohnehin immer mal probieren :-)
    Eine Frage zum Autoupdate:
    Wir das Zertifikat wirklich jeden Tag erneuert? Da die Zertifikate 90 Tage gültig sind würde eine monatliche Aktualisierung doch auch vollkommen ausreichen oder?

    Gruß
    Dirk

    Reply
    • Hey Dirk,
      das Zertifikat wird nicht jeden Tag erneuert, es wird nur die Restgültigkeit geprüft. Wenn die unter eine gewisse Schwelle fällt (bei den leisten LE-Clients sind das 30 Tage) wird erst erneuert.

      Reply
  22. Hallo Frank,
    Danke für die rasche Antwort.
    Client Access und HubTransport ist auf dem selben Server.
    Das heißt das Skript sollte daher funktionieren oder?
    Gruß, Hölli

    Reply
    • Hallo Hölli,
      ja, dann sollte das Script funktionieren. Du solltest es aber vorher testen. Ich arbeite gerade an einer neuen Version des Scripts, brauche aber noch etwas bis zur Fertigstellung.
      Gruß,
      Frank

      Reply
  23. Wie soll man vorgehen wenn der Exchange auf 2 Server aufgeteilt ist (Transport und Mailbox)?
    Reicht es am Transport das Zertifikat zu importieren und das Skript zu verwenden oder muss der Mailbox Server auch immer das neue Zertifikat erhalten?

    Reply
    • Hallo Hölli,
      das Zertifikat wird auf dem Client Access und auf dem HubTransport Server benötigt. Wenn dies bei dir getrennte Server sind, musst du auf beiden Servern ein entsprechendes Zertifikat konfigurieren.
      Gruß,
      Frank

      Reply
  24. SBS2011 mit Exchange 2010: hat funktioniert, voll geil, danke!
    – WMF 5 händisch installiert, noch irgend ein Update nachgeschoben das er haben wollte
    – PS Script angepasst: mit „$CertNames = $CertNames | where {$_ -NotLike „*.local“}“ meine lokale Adresse rausgenommen (Danke Maik!)
    – Fehlermeldung beim Zertifikatsimport in Exchange ganz am Schluss
    – Zertifikat händisch über die Exchange Konsole importiert
    -> grünes Schloss im Browser!

    Reply
  25. Für SBS2011 mit PS4.0 User bitte ACMESharp so installieren:
    Install-Module -Name ACMESharp -RequiredVersion 0.8.1

    Sollte ACMESharp in einer höheren Version installiert sein bitte vorher mit diesem Befehl deinstallieren:
    Uninstall-Module ACMESharp

    Dann läuft das Script unter dem SBS2011 problemlos durch.

    Reply
    • Besten Dank für den Tipp und selbstverständlich an den Autor :) :) :) !!!!
      So ein Script macht gewiss einige Tage im Jahr weniger stressig !

      Reply
  26. Hallo,

    das ist ein SUPER Tutorial! Danke sehr. Leider bin ich wohl zu doof das Framework 4 zu installieren – gibt es da einen Tip, da ich es für den SBS2011 nicht laden bzw. starten kann und ohne wohl aufgeschmissen bin?

    Besten Dank und Grüße

    Reply
  27. Kann es sein, dass das Script mit PS 5.0 nicht mehr funktioniert? Es handelt sich um einen Exchange 2010 SP3 auf 2008R2 beide aktuellster Patchlevel
    Name : ConsoleHost
    Version : 5.0.10586.117
    und Exchange
    Name : ConsoleHost
    Version : 2.0
    Prüfe ob bereits ein Vault existiert…
    Prüfe Let’s Encrypt Registrierung…
    Neuer Identifier:
    DNS: mail.int.ajedv.de
    Alias: Cert27xxxx334-1
    Validierung vorbereiten:
    Alias Cert27xxxx334-1
    Complete-ACMEChallenge : the given identifier was not found in the registry
    At C:\CertificateAssistant\CertificateAssistant.ps1:273 char:20
    + … lidateReq = Complete-ACMEChallenge $ACMEAlias -ChallengeType http-01 …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Complete-ACMEChallenge], KeyNotFoundException
    + FullyQualifiedErrorId : System.Collections.Generic.KeyNotFoundException,ACMESharp.POSH.CompleteChallenge

    Neuer Identifier:
    DNS: mail.ajedv.de
    Alias: Cert27xxxx334-2
    Validierung vorbereiten:
    Alias Cert27xxxx334-2
    Complete-ACMEChallenge : the given identifier was not found in the registry
    At C:\CertificateAssistant\CertificateAssistant.ps1:273 char:20
    + … lidateReq = Complete-ACMEChallenge $ACMEAlias -ChallengeType http-01 …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Complete-ACMEChallenge], KeyNotFoundException
    + FullyQualifiedErrorId : System.Collections.Generic.KeyNotFoundException,ACMESharp.POSH.CompleteChallenge

    Let’s Encrypt IIS Verzeichnis auf HTTP umstellen…
    Umstellung auf HTTP erfolgreich
    DNS Namen durch Let’s Encrypt validieren lassen…
    Validierung durchführen: Cert27xxxx334-1
    Submit-ACMEChallenge : challenge has not been decoded
    At C:\CertificateAssistant\CertificateAssistant.ps1:297 char:17
    + … $Validate = Submit-ACMEChallenge $ACMEAlias -ChallengeType http-01
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Submit-ACMEChallenge], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,ACMESharp.POSH.SubmitChallenge

    Validierung durchführen: Cert27xxxx334-2
    Submit-ACMEChallenge : challenge has not been decoded
    At C:\CertificateAssistant\CertificateAssistant.ps1:297 char:17
    + … $Validate = Submit-ACMEChallenge $ACMEAlias -ChallengeType http-01
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Submit-ACMEChallenge], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,ACMESharp.POSH.SubmitChallenge

    30 Sekunden warten…
    Prüfe ob die DNS-Namen validiert wurden…
    Update Alias: Cert27xxxx334-1
    Fehler: Validierung für Alias Cert27xxxx334-1 fehlgeschlagen

    Reply
  28. Ich noch mal,

    als anmerkung sei noch gesagt das ein Get-ACMEIdentifier |?{$_:Status -eq ‚valid‘} |ft
    Alle von mir eingetragenen Subdomanis als „valid“ ausgibt.

    Viele Grüße
    Martin

    Reply
  29. Hallo zusammen,

    erst mal danke an Franky für all die Mühe die Du dir hier gibts!
    Ich bin selber gerade dabei das Script für die Lets Encrypt Zertifikate bei mir durchzuführen und bin auch schon auf einige der Probleme in den vorherigen Posts gestoßen. (Und hab diese dann auch beheben können. Z.B. die falsche ACME Version) ;-)

    Ich habe das ganze nach Anleitung gemacht und am Anfang schaut auch alles gut aus, die (Sub) Domänen können alle Validiert werden.
    Jedoch kommt direkt nachdem die letzte subdomain validiert wurde eine Fehlermeldung bezüglich der Zertifikatsvorbereitung:

    New-ACMECertificate : Das Argument kann nicht an den Parameter „IdentifierRef“ gebunden werden, da es NULL ist.

    Im Anschluss kommt noch die Rückmelung von ACME das eben der Parameter NULL nicht erlaubt sei.
    Hat irgendjemand eine Idee was das sein könnte?
    Ich hab schon halb Google umgegraben aber nichts zu diesem Fehler gefunden.

    Es handelt sich um einen Exchange 2010 SP3 auf 2008R2 beide aktuellster Patchlevel.

    Habt Dank für Aufmerksamkeit und Rat!
    Martin

    Reply
  30. Hallo!
    Danke für die tolle Anleitung.
    Hat bei meinem Test-Exchange 2010 und 2013 super funktioniert. Nur beim SBS2011 schlägt die Validierung für webmail.domain.com fehl. Autodiscover.domain.com kann validiert werden.
    Bei beiden Domains funktioniert die Weiterleitung intern sowie extern auf den IIS bzw. WebApp.
    Hatte vielleicht jemand das selbe Problem und kann mir weiterhelfen?

    Reply
    • darf webmail.domain.com angepingt werden bzw. stehts im öffentlichen Dns-Server? Beim Ping auf den Hostnamen, sollte die IP sichtbar sein. Ob die wirklich angepingt werden darf oder nicht, weiß ich nicht mehr, aber ich glaube nicht, wäre ja idiotisch einen ping als Grundlage für die Domainvalidierung zu haben.
      Ist webmail.domain.com im öffentlichen Dns und als IP-Adresse eingetragen? (Kein Cname)
      Lg

      Reply
  31. Ursache gefunden, Letsencrypt wollte per IPv6 validieren, mein IIS spricht nur IPv4. Jetzt muss ich nur noch schauen, dass meine Fritzbox per ddns nur noch die IPv4 rausgibt.

    Reply
  32. Hallo, zusammen bin gerade dabei meine startSSL-Zertifikate abzulösne, das ganze auf einem SBS2011. Beim Ausführen des Script erhalte ich folgenden Fehler:
    DNS Namen durch Let’s Encrypt validieren lassen…
    Validierung durchführen: Cert071220170756-1
    Validierung durchführen: Cert071220170756-2
    Validierung durchführen: Cert071220170756-3
    Validierung durchführen: Cert071220170756-4
    30 Sekunden warten…
    Prüfe ob die DNS-Namen validiert wurden…
    Update Alias: Cert071220170756-1
    Fehler: Validierung für Alias Cert071220170756-1 fehlgeschlagen

    dieser alias ist: autodiscover.xxxxx.de

    die Umleitungen im IIS sind entfernt, wenn ich manuel auf die Seite gehe sehe ich eine IIS-Startseite.

    Was kann ich machen?

    Danke.

    Reply
  33. Hi,
    hab ein Server 2012 R2 und Ex2010 (alles up to date). Ich würde das Script gerne nutzen, nur leider findet er das Ex2010 Snappin nicht.
    Powershell Version 4 ist drauf und ACME ist auch drauf.
    Fehlermeldung:
    Get-PSSnapin : Es wurden keine Windows PowerShell-Snap-Ins gefunden, die dem Muster „*exchange*“ entsprechen.
    Überprüfen Sie das Muster, und führen Sie dann den Befehl erneut aus.
    In C:\CertificateAssistant.ps1:61 Zeichen:24
    + $CheckExchangeSnapin = Get-PSSnapin *exchange*
    + ~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidArgument: (*exchange*:String) [Get-PSSnapin], PSArgumentException
    + FullyQualifiedErrorId : NoPSSnapInsFound,Microsoft.PowerShell.Commands.GetPSSnapinCommand

    Exchange SnapIn nicht gefunden

    Script ist V1.1

    Danke für eure Hilfe

    Gruß Mathias

    Reply
  34. Hi Chris den gleich Fehler haben wir auch.
    Mittlerweile empfängt unser Exchange2010 unter Server2008 R2 die ausgestellten Zertifikate, Wir können dieses auch unter Serverkonfiguration –> Exchange-Zertifikate sehen.
    Jedoch steht unter dem Status des Let’s Encrypt Zertifkat „Das Zertifikat ist für die Exchange Server-Verwendung ungültig“ Schaue wir uns den Reiter Zertifizierungspfad diese EXchange-Zertifikates an, dann finden wir in dem Zertifizierungsstatus: Dieses Zertifikat ist gültig.
    In der OWA Verbindung sehen wir eine SSL Verbindung mit gültigem Zertifikat von Let’s Encrypt.

    Kann jemand weiterhelfen?

    Reply
  35. Hi, ich habe das Script mit server 2016 probiert. Läuft alles durch, danach in Zertifakte aber der Status „ungültig“

    Reply
  36. Hi Frank,

    wir sind die Anleitung bei uns durchgegangen und bekommen folgenden Fehler:

    Complete-ACMEChallenge : the given identifier was not found in the registry
    In C:\setup\EXchange to LetsCrypt\CertificateAssistant.ps1:273 Zeichen:20
    + $ValidateReq = Complete-ACMEChallenge $ACMEAlias -ChallengeType http-01 -Han …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Complete-ACMEChallenge], KeyNotFoundException
    + FullyQualifiedErrorId : System.Collections.Generic.KeyNotFoundException,ACMESharp.POSH.CompleteChallenge

    Kannst Du uns einen Tipp geben, was hier schief läuft?

    Danke

    Reply
  37. Hi Frank,
    vielen Dank für das Script, spart eine Menge Tipperei. Noch als Hinweis zu ACMESharp, ich bin über die nette Meldung „Complete-ACMEChallenge : the given identifier was not found in the registry“ gestolpert. Ursache war dass ich im Vorfeld die aktuelle ACMESharp-Version (0.9…) über die Gallery installiert hatte, und bei der hat sich wohl der Syntax etwas geändert. Siehe auch https://github.com/ebekker/ACMESharp/issues/245 . In dem Fall muss man die Version wieder deinstallieren und explizit Version 0.8.1 installieren (oder das einfach dein Script erledigen lassen, fiel mir danach erst auf). Wäre vielleicht eine Überlegung wert einen Check einzubauen ob wirklich die korrekte Version vorhanden ist, würde übereifrigen Admins wie mir etwas Sucherei sparen ;)

    Reply
  38. @Karsten und Daniel:
    Ich hatte eine solche Fehlermeldung als ich das Script auf einem Exchange 2010 ohne ServicePack versuchte. Minimum SP2 ist Pflicht damit man LetsEncrypt Zertifikate importieren kann (wird wohl am SHA2 liegen).

    Reply
  39. Ich vergaß: das skript hat anscheinend einen kleinen Bug, der AnzeigeName des Zertifikats wird nicht gesetzt, weil $ExchangeSubject nirgends gesetzt wird.
    Danke für das Skript! – ist eine super Hilfe.

    Reply
  40. Ich hatte den Fehler Unknown error (0xe0434f4d) auch (unter Win2008R2/Exchange 2010)
    Behoben habe ich ihn, indem ich am Anfang des skripts das skript der exchange shell eingebunden habe (der Punkt am anfang ist wichtig):
    . ‚C:\Program Files\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1‘

    Reply
  41. Hallo,

    ich habe das Problem dass ich auf einem Exchange 2013/Server 2008 R2 den internen Servernamen nicht loswerde, die Virtuellen Verzeichnisse sind alle richtig konfiguriert mit mail.domäne.xx und mail.int.domäne.xx für intern.
    Outlook Anywhere ist auch entsprechend konfiguriert ebenso die Sendeconnectoren, lediglich die Empfangsconnectoren laufen noch auf den internen FQDN was wohl so seien muss da Exchange-Serverauthentifizierung aktiviert ist.
    Die Autodiscover Adressen habe ich auch angepasst.
    Was muss ich tun dass sich der Server nur noch mit den angepassten Adressen meldet?

    Danke und Gruß
    Torsten

    Reply
    • Hallo!
      Exakt das gleiche Problem habe ich mit der Konfiguration auch: beim lokalen Connect mit Outlook (egal welche Version) meldet er immer noch ein Zertifikatsproblem, weil er immer noch mit dem alten internen Namen veruscht zu verbinden: server.domäne.local

      Alle Einträge sind definitiv richtig gesetzt, zuletzt auch per automatisiertem Script. Alles neu gestartet – trotzdem noch immer server.domäne.local!
      Von extern ist alles einwandfrei!

      Grüße
      Thomas

      Reply
  42. Hat schon jemand eine Lösung für das Problem von Karsten auf einem SBS2011 gefunden, bei dem der Fehler „Import-ExchangeCertificate : Beim Exchange-Zertifikatvorgang ist eine Ausnahme aufgetreten“ auftaucht? In der Exchange-Verwaltungskonsole konnte ich das Zertifikat manuell importieren und die Dienste zuweisen. Nun geht es soweit, nur die automatische Aktualisierung wird wohl nicht funktionieren wenn das Zertifikat nicht importiert wird.

    Daniel

    Reply
  43. Vielen Dank für diese Arbeit, das Script erleichtert den Umgang mit LetsEncrypt ungemein! Hat mit einem Ex2010 alles wunderbar geklappt.

    Reply
  44. Nachdem ich das Skript nun erfolgreich auf mehreren Servern eingesetzt habe möchte ich mich erneut für deine Arbeit bedanken, Frank. Bei Exchange 2010 (SBS 2011) ist das alles ein wenig komplizierter, deine Anleitung konnte mir da aber durchaus ein paar Mal helfen. Am Ende bin ich jedoch dennoch davon abgegangen in einer existierenden Domäne Split-Zoning anzulegen, da dies große Probleme mit Outlook verursachte. Ohne Split-Zoning klappt alles wie gewünscht.

    Anbei noch der Hinweis, dass unter Windows Server 2012 R2 / Exchange 2013 noch am Anfang des Skripts beim Erkennen der Exchange 2013 Konfiguration ein Fehler auftaucht, dieser aber in meinem Fall ignoriert werden konnte.

    Weiterhin der allgemeine Hinweis, dass die erstellte Aufgabe leider in meinem Fall auf allen Systemen immer den falschen Pfad hatte und immer auf C:\Users\Administrator\CertificateAssistant.ps1 zeigte, obwohl das Skript an einem ganz anderen Ort ausgeführt wurde und lag. Ich habe in der Aufgabenplanung den Pfad immer manuell angepasst.

    Übrigens: Wer wie ich große Probleme beim Installieren von ACMESharp unter Windows Server 2012 R2 hat, da das „Search criteria“ offenbar nicht gefunden werden konnte, obwohl PackageManagement für PS3/4 installiert wurde, der sollte seine Repositories mittels „Get-PSRepository“ prüfen und ggfs. zurücksetzen mit „Register-PSRepository -Default“. In meinem Fall wurde PSGallery vorher einfach nicht angelegt. Im Anschluss gffs. noch als Trusted markieren mit „Set-PSRepository -Name PSGallery -InstallationPolicy Trusted“.

    Reply
  45. Habe auf einem SBS2011 eine Fehlermeldung beim Import bekommen. Das Zertifikat wurde aber korrekt generiert und konnte manuell importiert werden.

    Hier der Fehler:
    Zertifikat OK
    Exportire das Zertifikat nach C:\Users\ADMINI~1.XXX\AppData\Local\Temp\2
    Prüfe ob das Zertifikat exportiert wurde…
    Zertifikat wurde erfolgreich exportiert
    Passwort für die PFX Datei: xxx
    Zertifikat wird Exchange zugewiesen und aktiviert
    Import-ExchangeCertificate : Beim Exchange-Zertifikatvorgang ist eine Ausnahme aufgetreten. Die Fehlermeldung lautet:
    Unknown error (0xe0434f4d)
    In C:\Shares\install\ssl\CertificateAssistant.ps1:370 Zeichen:4
    + Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path $CertPath – …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidOperation: (:) [Import-ExchangeCertificate], LocalizedException
    + FullyQualifiedErrorId : AB8D1CFB,Microsoft.Exchange.Management.SystemConfigurationTasks.ImportExchangeCertificate

    Prüfe ob das Zertifikat aktiviert wurde
    Get-ChildItem : Fehler beim Auflisten der SSL-Bindungen. Fehlercode: 234.
    In C:\Shares\install\ssl\CertificateAssistant.ps1:373 Zeichen:29
    + $CurrentCertThumbprint = (Get-ChildItem -Path IIS:SSLBindings | where {$_.port …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Get-ChildItem], ProviderException
    + FullyQualifiedErrorId : Microsoft.IIs.PowerShell.Framework.ProviderException,Microsoft.PowerShell.Commands.GetChildItemCommand

    Aktivierung ist fehlgeschlagen

    Reply
  46. a) Script läuft soweit auf SBS 2011 Std
    b) Wenn ich das Script richtig verstanden habe, wird bei der Erneuerung ein neues Passwort für die .PFX erstellt. Unter bestimmten Bedingungen mach es aber Sinn, die .PFX mal manuell importieren zu können.
    Könnte man das Passwort von der Erstinstallation nicht speichern und immer wieder verwenden, alternativ das neue Passwort z.B. per mail oder im Log mitteilen.

    Reply
  47. Bei meinem SBS2011 funktioniert leider der Befehlt Import-ExchangeCertificate nur in der Exchange Management Console. Fehler beim Ausführen: Get-ExchangeCertificate : Beim Exchange-Zertifikatvorgang ist eine Ausnahme aufgetreten. Die Fehlermeldung lautet:
    Unknown error (0xe0434f4d)
    At line:1 char:1
    + Get-ExchangeCertificate
    + ~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidOperation: (:) [Get-ExchangeCertificate], LocalizedException
    + FullyQualifiedErrorId : AAF5F470,Microsoft.Exchange.Management.SystemConfigurationTasks.GetExchangeCertificate

    Bin über jede Hilfe dankbar!

    Reply
  48. Hallo Frank,
    hallo Torsten,

    vielen Dank für Eure Rückmeldungen. Auch auf meinem SBS2011 hat es ohne weitere Anpassungen geklappt. Hervorragend!

    Das ist mir auch einen kleinen Obolus wert, den ich jetzt gleich auf den Weg bringen werde.

    Noch einmal vielen Dank!

    Bernhard

    Reply
  49. Hallo Frank,

    ich bin gerade dabei, das Skript mit dem SBS 2011 zu testen. Teil 1 der Anleitung und die öffentliche DNS von Teil 2 habe ich soweit durch. Das scheint auch alles soweit i. O. zu sein.

    Wenn ich autodiscover.xxx.de und outlook.int.xxx.de teste, kommt auch die IIS-Testseite. Wenn ich allerdings outlook.xxx.de teste, kommt eine Weiterleitung auf https://outlook.xxx.de/remote. Ich befürchte, dass dann die Authentifizierung durch Lets Encrypt auf einen Fehler läuft. Kann ich diese Weiterleitung unterbrechen?

    Viele Grüße, Bernhard

    Reply
    • Hi Bernhard,
      richtig, hier wird die Let’s Encrypt Prüfung fehlschlagen. Die Umleitung wird wahrscheinlich im IIS konfiguriert sein, ich bin mir da beim SBS aber nicht sicher.
      Gruß, Frank

      Reply
  50. Hallo Frank,

    ist die Vorgehensweise auch für den Windows Small Business Server 2011 geeignet oder ist dabei zusätzlich etwas zu berücksichtigen?

    Viele Grüße
    Bernhard

    Reply
    • H Bernhard,

      ich habe es nicht mit dem SBS 2011 getestet, daher kann ich dazu keine Aussage treffen. Ich denke, es sollte vorher in einer Testumgebung ausprobiert werden.
      Gruß, Frank

      Reply
  51. Hallo, beim ersten ausführen des Scripts wurden mir einige Fehler angezeigt, welche ich gefixed habe. Danach habe ich das Script nochmal ausgeführ und er hängt jetzt bei mir an folgender Stelle:

    Let’s Encrypt IIS Verzeichnis auf HTTP umstellen…
    Umstellung auf HTTP erfolgreich
    DNS Namen durch Let’s Encrypt validieren lassen…
    Validierung durchführen: Cert10042017-1
    Validierung durchführen: Cert10042017-2
    Validierung durchführen: Cert10042017-3
    30 Sekunden warten…
    Prüfe ob die DNS-Namen validiert wurden…
    Update Alias: Cert10042017-1
    Fehler: Validierung für Alias Cert10042017-1 fehlgeschlagen

    Kann es sein, dass er beim ersten Ausführen des Scripts den DNS Namen schon regestriert hatte und jetzt ein Problem beim nochmaligen regestrieren hat?

    Gruß, David

    Reply
  52. okay. supi … Schreibst du dann nochmal ne kurze info wenn das script geändert wurde ? Danach kann ich also dann einfach den prozess nochmal neu durchdrücken damit ich den zusätzlichen dnsnamen hinzufügen kann ? hatte dummerweise den autodiscover vergessen :-)

    Reply
  53. naja klappt eigentlich ganz super … wie kann ich dann eigentlich den wizard „neustarten“ habe einen DNS namen vergessen und nachdem ich nun das script nochmals durchlaufen lasse komme ich nicht weiter … immer nur fehler

    Reply
  54. Hallo Frank,

    könntest Du Quellen/Infos hinterlegen zur Unterstützung von PS4 auch auf Exchange 2013? Oder lläuft Dein Script auch mit PS3?

    Vielen Dank und liebe Grüße,
    John

    Reply
  55. Hallo Frank,

    mir ist beim Installieren des ACMESharp-Moduls, also folgender Zeile

    install-module -name ACMESharp

    aufgefallen, dass, zumindest in meiner Konstellation, nichts passiert ist und das Modul nicht zur Verfügung stand.
    Ich hatte auf einem Windows Server 2012 R2 zuvor die Powershell 5.0 installiert und diese wieder deinstalliert und PowerShellGet installiert.

    Ich habe die Zeile dann durch

    install-module -Name ACMESharp -force

    ersetzt. Danach stand das Modul zur Verfügung. Dadurch wird erzwungen, dass das Modul auf jeden Fall installiert wird.

    Reply

Leave a Comment