ComputerBase Menü
Aktuelles

Exchange Server 2013 - InstantSSL Zertifikat - Unterstützung benötigt

DanTheManX2

DanTheManX2

Lt. Junior Grade
Registriert
Dez. 2006
Beiträge
262
Hallo liebe Community,

wie der Titel schön verrät brauche ich eure Hilfe.
Dazu sei gesagt, dass ich mich noch nicht lange mit dem Exchange Server arbeite ich aber stetig weiter dazu lerne :)

Anfangs hatte ich mir ein selbst erstelltes Zertifikat und einer Zertifizierungsstelle installiert. Dies hat ohne große Probleme funktioniert.

Da ich aber die Zertifikatswarnungen nicht möchte bin ich beim durchstöbern auf den Anbieter InstantSSL gestoßen. Dort habe ich die CSR eingefügt und mithilfe der Bestätigungs E-Mail an meine Domain verifiziert.

Nun habe ich eine E-Mail bekommen, wo das Zertifikat sich im Anhang befinden soll.



Was mich nun aber wundert ist, dass im Anhang der E-Mail eine Zip File mit mehreren Dateien vorhanden ist. Die benötigte Datei ist aber von letzter Nacht und nicht erst von heute morgen wo ich die E-Mail Adresse validiert habe.

2016-02-06 14_24_03-192.168.178.100 - Remotedesktopverbindung.png

-Zertifikate - Microsoft Exchange.png
Auf dem Verzeichnis sind lese und Schreibrechte für jeden erteilt also wieso Zugriffsfehler?

Was mache ich falsch? Bzw. wie wäre das weitere vorgehen? Ich kann leider mit den anderen Zertifikaten nichts anfangen. Vielleicht könnt ihr mir helfen da ich glaube nur noch wenige Klicks von einer Vertrauenswürdige Seite entfernt zu sein. Vielen Dank im Vorraus.


LG Dan
 

Anhänge

  • 2016-02-06 14_22_03-Support - Outlook Web App.png
    2016-02-06 14_22_03-Support - Outlook Web App.png
    48,9 KB · Aufrufe: 178
Zuletzt bearbeitet:
Wenn die NTFS-Rechte korrekt sind, gebe doch mal den Ordner extra frei indem die Dateien liegen und vergebe entsprechende Freigaberechte.

Dann entsprechend mit \\Win2012r2-ex01\Freigabename\Dateiname.cer

Hast du die Root und Intermediate Zertifikate auf dem Server entsprechend importiert?
 
Zuletzt bearbeitet:
nein ich habe die Root und die Intermediate Zertifikate nicht importiert. Wie mache ich das? Auf dem DC wo sich der IIS befindet? Hab ich noch nicht gemacht. Das mit dem selbst erstellten war einfacher :-D

Auf dem Verzeichnis sind die Freigaben aktiv. Mich wundert es, dass das Zertifikat im Anhang von gestern und nicht heute Morgen war. In der E-Mail steht auch noch die CSA mache ich damit noch was ?

Danke für die Hilfe bisher +1
 
Kopier dir die Datei lokal auf den Server. UNC-Pfade machen manchmal Ärger. Die Uhrzeit stimmt wohl, Comodo befindet sich in den USA, die sind entsprechend mehrere Stunden hinter unserer Zeit.
Die Zwischenzertifikate installierst du auf dem Exchange über das mmc Snap-In Zertifikate. Dann lokales Computerkonto auswählen un die Zertifikate in die entsprechenden Ordner importieren.
 
Zuletzt bearbeitet:
DanTheManX2 schrieb:
nein ich habe die Root und die Intermediate Zertifikate nicht importiert. Wie mache ich das? Auf dem DC wo sich der IIS befindet? Hab ich noch nicht gemacht. Das mit dem selbst erstellten war einfacher :-D

Auf dem Verzeichnis sind die Freigaben aktiv. Mich wundert es, dass das Zertifikat im Anhang von gestern und nicht heute Morgen war. In der E-Mail steht auch noch die CSA mache ich damit noch was ?

Danke für die Hilfe bisher +1
Zum Vergrößern anklicken....

Die drei Zertifikate die auch in deinem Screenshot zusehen sind und auch in der E-Mail beschrieben sind, müssen auf dem Exchange Server importiert werden (hier sollte ebenfalls ein IIS laufen). Ich vermute dass in der Mail unter "click here for instructions" steht, was zu tun ist.
Ansonsten sollte ein Doppelklick auf die oberen Dateien auf deinem Screenshot auf dem EXC-Server ausreichen zum importieren.

Evil E-Lex schrieb:
Kopier dir die Datei lokal auf den Server. UNC-Pfade machen manchmal Ärger.
Zum Vergrößern anklicken....

Exchange2013 erwartet hier einen UNC-Pfad, lokale Pfade funktionieren nicht!
 
Zuletzt bearbeitet:
die Datei befindet sich lokal auf dem Exchange Server in dem Verzeichnis: Win2012r2-ex01/c$/Installation/

Beim Exchange ECP kann ich nur UNC-Pfade nehmen -.-
 
rennstrecke schrieb:
Die drei Zertifikate die auch in deinem Screenshot zusehen sind und auch in der E-Mail beschrieben sind, müssen auf dem Exchange Server importiert werden (hier sollte ebenfalls ein IIS laufen). Ich vermute dass in der Mail unter "click here for instructions" steht, was zu tun ist.
Ansonsten sollte ein Doppelklick auf die oberen Dateien auf deinem Screenshot auf dem EXC-Server ausreichen zum importieren.
Zum Vergrößern anklicken....

Das bedeutet, dass ich nichts weiteres zu tun hab außer doppelt auf die Zertifikate zu klicken?

Was mache ich mit dem UNC Pfad im Exchange wo dort der Status noch auf ausstehend steht ?
 
Versuchs mal mit PowerShell:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path "C:\PfadzumCert\DeinServerCert.crt" -Encoding byte -ReadCount 0))
 
DanTheManX2 schrieb:
Das bedeutet, dass ich nichts weiteres zu tun hab außer doppelt auf die Zertifikate zu klicken?

Was mache ich mit dem UNC Pfad im Exchange wo dort der Status noch auf ausstehend steht ?
Zum Vergrößern anklicken....

Entweder per Doppelklick, oder per mmc ins Computerkonto in die entsprechende Kategorie importieren, wie von Evel E-Lex vorgeschlagen.

Im Exchange deinen CSR musst du auf jeden Fall dort auch "beantworten", mit deiner Zertifikatsdatei dafür. Geht nur über das WebInterface oder die Exchange-Powershell. Gebe doch mal das Verzeichnis "Installation" extra Frei, und vergebe Freigabeberechtigung für einen User der im AD Exchange-Origanisations-Admin ist. und dann Nutzt du \\Win2012r2-ex01\Installation\Dateiname.cer ...

Absolute Freigaben wie C$ funktionieren nicht immer zuverlässig.
 
Guten Morgen zusammen,

ich wollte mich nochmals für eure gestrige Hilfe bedanken. Leider konnte ich es gestern nicht mehr probieren.
Nun habe ich die ganzen Zertifikate auf dem EX (Lokaler Computer) installiert.

Leider erhalte ich weiterhin die Fehlermeldung. Ich hab das alte Zertifikat entfernt und die Dienste zugewiesen aber irgendwas scheint nicht zu stimmen. Dazu habe ich ein paar Screenshots angefertigt.

-Zertifikat.png
Zertifikate - Microsoft Exchange.png
-Zertifikate - Microsoft Exchange.png
2016-02-07 11_25_42-Datenschutzfehler.jpg
Datenschutzfehler.jpg

Was kann ich noch tun? So schwer sollte das mit dem Zertifikat wohl nicht sein :(:(

Gruß Dan
 
Du musst die selbstausgestellten Zertifikate löschen, sonst wird das nichts. Es wird weiterhin dein selbstausgestelltes Zertifikat verwendet.

Falls du danach noch mit COMODO-Zertifikat Probleme hast, hast du die Root- und Intermediate-Zertifkate nicht installiert. Das passiert nicht automatisch. In Kurzform:
1. mmc öffnen.
2. Zertifikate Swap-In für das Lokale Computerkonto laden.
3. AddTrustExternalCARoot.crt in den Speicher "Vertrauenswürdige Stammzertifizierungsstellen" importieren
4. COMODORSAAddTrustCA.crt und COMODORSADomainValidationSecureServerCA.crt in den Speicher "Vertrauenswürdige Zwischenzertifizierungsstellen" importieren.
5. Alternativ in der E-Mail den Link "click here for instructions" anklicken. :)
 
Zuletzt bearbeitet:
Evil E-Lex schrieb:
Du hast die Root- und Intermediate-Zertifkate nicht installiert. Das passiert nicht automatisch. In Kurzform:
1. mmc öffnen.
2. Zertifikate Swap-In für das Lokale Computerkonto laden.
3. AddTrustExternalCARoot.crt in den Speicher "Vertrauenswürdige Stammzertifizierungsstellen" importieren
4. COMODORSAAddTrustCA.crt und COMODORSADomainValidationSecureServerCA.crt in den Speicher "Vertrauenswürdige Zwischenzertifizierungsstellen" importieren.
5. Alternativ in der E-Mail den Link "click here for instructions" anklicken. :)

Edit: Ups, ich seh grad, dass du ein völlig falsches Zertifikat installiert hast. Dein Zertifikat kommt nicht von COMODO, sondern von deiner internen CA. Wobei da auch der Pfad nicht stimmt. Wie hast du das Zertifikat von COMODO angefordert?
Zum Vergrößern anklicken....

Ich bin beim Exchange bei Server / Zertifikate auf das "+" ( Neu ) gegangen danach die Anforderung eines Zertifikates von einer Zertifizierungsstelle erstellen. Alles soweit aufgefüllt und im Anschluss hab ich die CSA hier eingegeben und angefordert.

https://www.instantssl.com/free-ssl...5sk1=58f830d2971ba2c548e321e83b64e68f5cd15aad
Bin hier auf "Try free SSL" gegangen und hab dort die weiteren Schritte befolgt.

Das alte Zertifikat hab ich beim ECP entfernt. Auf dem Screenshot sind nur noch die Standardzertifikate zu sehen.

Was kann ich tun? Soll ich die interne Zertifizierungsstelle auf dem DC entfernen? Oder soll ich sonst irgendwas machen?

Nachtrag: Ich habe jetzt auf dem DC die Active-Directory Zertifizierungsstelle deaktiviert und neu gestartet. Ich hoffe das hilft weiter.

Liegt der Fehler vielleicht daran, dass ich das Zertifikat für "mai.xxx-it.de" angefordert habe und die OWA Adresse https://xxx-it.de/owa lautet ?


Danke für eure Hilfe :)
 
Zuletzt bearbeitet: (Ergänzung zum Eintrag)
DanTheManX2 schrieb:
Nachtrag: Ich habe jetzt auf dem DC die Active-Directory Zertifizierungsstelle deaktiviert und neu gestartet. Ich hoffe das hilft weiter.
Zum Vergrößern anklicken....
Nein, damit hat das nichts zu tun. Ich habe meinen vorherigen Beitrag entsprechend editiert. In deinem ersten Screenshot sieht man ja das korrekte Zertifikat von Comodo. Dein IIS nutzt aber ein anderes.

Liegt der Fehler vielleicht daran, dass ich das Zertifikat für "mai.xxx-it.de" angefordert habe und die OWA Adresse https://xxx-it.de/owa lautet ?
Zum Vergrößern anklicken....
Der Name im Zertifikat muss dem Domainnamen exakt entsprechen. Allerdings würde die Fehlermeldung dann anders aussehen. Hast du mal die IIS-Dienste neu gestartet? Und schau auch mal in die IIS-Konfiguration welches Zertifikat dort eingetragen ist.
 
Evil E-Lex schrieb:
Nein, damit hat das nichts zu tun. Ich habe meinen vorherigen Beitrag entsprechend editiert. In deinem ersten Screenshot sieht man ja das korrekte Zertifikat von Comodo. Dein IIS nutzt aber ein anderes.


Der Name im Zertifikat muss dem Domainnamen exakt entsprechen. Allerdings würde die Fehlermeldung dann anders aussehen. Hast du mal die IIS-Dienste neu gestartet? Und schau auch mal in die IIS-Konfiguration welches Zertifikat dort eingetragen ist.
Zum Vergrößern anklicken....

Ja den IIS habe ich bereits neu gestartet. Dies brachte leider keinen Erfolg. Ich glaub ich werde nachher bis zum Start des Super Bowl mich nochmals mit der Materie beschäftigen und mal den IIS genauer unter die Lupe nehmen.

Ich könnte auch nochmal die Zertifizierungsstelle neu installieren wobei ich glaub das es nichts bringen würde. Hatte als ich ihn von ein paar Wochen installiert habe die Verschlüsselung und SHA1 gesetzt was sich später als falsch heraus stellte.

So oder so werde ich noch was probieren und berichten.

Vielen Dank nochmal an dieser Stelle Evil E-Lex sowie die anderen, dass ihr mich nicht im Regen stehen lässt und versucht mir bestmöglich zu helfen :)
Ergänzung ()

Hallo zusammen,

leider bin ich nicht weiter gekommen. Auf dem IIS habe ich nachgeschaut und konnte keinen Fehler feststellen. Auch ein Neustart brachte keinen Erfolg.

Hier scheint auch das richtige Zertifikat hinterlegt zu sein.

iis Remotedesktopverbindung.png

Was soll ich machen? Bzw. nachsehen?


Danke LG Dan
 
Zuletzt bearbeitet:
DanTheManX2 schrieb:
Hier scheint auch das richtige Zertifikat hinterlegt zu sein.
Zum Vergrößern anklicken....
Das sind die auf dem Server installierten Zertifikate, das passt schon so.
Ich hab grade keinen aktuellen IIS zur Hand daher der Weg aus dem Kopf. Schau mal in der IIS-Verwaltung nach:
1. Sites öffnen
2. Default Web Site anklicken
3. Rechts im Menü unterhalb von "Site bearbeiten" "Bindungen" anklicken
4. Im nächsten Fenster https anklicken, dann den Button "bearbeiten".
5. Dann im Drop-Down-Menü SSL-Zertifikat dein Zertifikat "InstantSSL" auswählen.
 
Evil E-Lex schrieb:
Das sind die auf dem Server installierten Zertifikate, das passt schon so.
Ich hab grade keinen aktuellen IIS zur Hand daher der Weg aus dem Kopf. Schau mal in der IIS-Verwaltung nach:
1. Sites öffnen
2. Default Web Site anklicken
3. Rechts im Menü unterhalb von "Site bearbeiten" "Bindungen" anklicken
4. Im nächsten Fenster https anklicken, dann den Button "bearbeiten".
5. Dann im Drop-Down-Menü SSL-Zertifikat dein Zertifikat "InstantSSL" auswählen.
Zum Vergrößern anklicken....

Bin genau deinem Weg befolgt. Und InstantSSL war beits im drop down Menü hinterlegt. Ich habe ein anderes mal ausgewählt und aktiviert danach wieder InstantSSL ausgewählt und eingestellt. -.- also hier auhc nichts zu finden.

sites zertifikate_2.jpg
sites zertifikate.jpg
 
Dein Zertifikat passt und wird auch entsprechend angezeigt, habs eben getest. :) Wenn du jetzt noch die externe URL auf mail.example.com statt auf example.com konfigurierst, dann wird auch die Fehlermeldung verschwinden.
 
haha hatte mir schon überlegt dir die Domain per pn zukommen zu lassen damit du dir das besser hättest ansehen können 😏 aber du warst schneller.

Soll ich nicht lieber example.com lassen und das Zertifikat auf diese Domain zuschneiden oder würdest du mail.example.com präferieren?

In Zukunft soll auf example.com zwar noch meine Homepage laufen aber ich gebe in den Browser ja /owa ein ist ja eigentlich schon eine andere Endung oder ist das ein Denkfehler von mir ? oO

Zu guter letzt noch schnell die Frage wie ich die URL am besten ändern kann. Damit die Seite ab gleich grün ist 😬😍
 
Ich würde mail.example.com vorziehen. Die Domain musst du bei deinem Webhoster entweder als Subdomain (mit geänderter IP-Adresse) oder direkt als A-Record im DNS eintragen. Das Vorgehen ist je nach Webhoster unterschiedlich. Die IP-Adresse für deinen A-Record bzw. Subdomain entspricht deiner externen IP.
 
Habe gerade mal nachgesehen und leider festgestellt, dass ich keine Subdomains erstellen kann. Ich müsste ein zusätzliches Paket dafür hinzubuchen.

Deshalb verwerfe ich die Idee mit dem mail.example.com erstmal.
Würde dann example.com für die Homepage verwenden wollen und example.com/owa für exchange. Das sollte doch klappen.

Wie muss ich jetzt bei InstantSSL vorgehen um das Zertifikat zu ändern? Eigentlich ein neues anfordern und wie beschrieben wieder einbinden. Richtig ? :(
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Ablösung SBS2011 durch Server 2019 & Exchange 2019 - Fallstricke?
Antworten
18
Aufrufe
4.558
t-6
t-6
DanTheManX2
Outlook 2013 und (externer) Exchange Server 2013 Einbindung Probleme
Antworten
4
Aufrufe
1.831
En3rg1eR1egel
En3rg1eR1egel
DanTheManX2
Exchange Server 2013 und DynDNS von Strato - Sendeconnector einrichten Blacklist
2
Antworten
26
Aufrufe
5.396
DanTheManX2
DanTheManX2
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz