Exchange 2013/2016: Event ID 2001 Failed to load SSL certificate

Nach dem Erneuern des Zertifikats für Exchange Server 2013 und Exchange Server 2016 (denke auch bei Exchange 2010), kommt es nach dem Neustart des IIS Servers zu folgendem Event:

3

[OWA] Failed to load SSL certificate

Das Anmelden an OWA oder ECP ist dann nicht mehr möglich, es erscheint nach der Eingabe von Benutzername und Passwort nur noch Fehlerseite

1

Der Hintergrund ist folgender: Die Bindung des Exchange Zertifikats passiert anhand des Fingerabdrucks auf dem Zertifikat. Beim Erneuern des Zertifikats bleibt zwar der private Schlüssel unverändert, jedoch ändert sich der Fingerabdruck:

05

Nach dem Erneuern des Zertifikats steht der IIS also im Prinzip ohne das Zertifikat da, beheben lässt sich das über die Exchange Shell. Zuerst die Zertifikate anzeigen lassen (hier fällt auf das zwar das selbstsignierte Zertifikat welches bei der Installation erstellt wird, angeblich an den IIS gebunden ist)

Get-ExchangeCertificate | fl subject,services,thumb*

Der Thumbprint des entsprechenden Zertifikats wird nun für den folgenden Befehl benötigt:

Enable-ExchangeCertificate -Thumbprint  -Services IIS,SMTP,POP,IMAP

Somit ist das erneuerte Zertifikat wieder an den IIS gebunden.6

Beim zweiten Befehl taucht auch die Abfrage auf, ob das Zertifikat ausgetauscht werden soll, hier wird noch der alte Fingerabdruck des Zertifikats angezeigt. Daher auch der oben genannte Fehler. Nach dem das Zertifikat zugewiesen wurde, am besten den IIS neustarten und kontrollieren ob die ANmeldung wieder funktioniert. Ach die Meldung im Event Log ist verschwunden.

2 thoughts on “Exchange 2013/2016: Event ID 2001 Failed to load SSL certificate”

  1. Danke für den Tipp!
    Ich bin schon seit Stunden am Suchen, habe auch schon sämtliche Zerts auf Gültigkeit überprüft. Aber auf die Idee, dass die Bindung wegen des geänderten Fingerprints verloren geht, wäre ich nie gekommen:-(
    Das Problem müssen doch eigentlich alle Exchange-SSL-OWA-Betreiber haben. Warum gibt MS dafür nicht einen KB-Artikel ‚raus? Oder bin ich nur zu blöd zum googeln?
    Nochmals vielen Dank und schönes Rest-Wochenende, Gruß
    – Thomas

    Reply

Leave a Comment