Exchange sagt Zertifikat ungültig

[von Schnitzel]

Nabend zusammen,

kurz vorweg: ich habe mich noch nie mit Zertifikaten beschäftigt.
Es gibt: Server 1 (Exchange 2013) und Server 2.

Heute ist ein Zertifikat ausgelaufen, das von unserem alten nicht mehr vorhandenen Zertifikatdienst erstellt wurde.
Leider hat mir jemand eine ganz große Freude gemacht und es daraufhin ungefragt gelöscht.
Daher habe ich einen neuen Zertifikatdienst auf Server 2 eingerichtet.

Problem:
Ich lege ein neues Zertifikat im Exchange (Server 1) an und erstelle die so .req-Datei.
Diese spiele ich dann auf Server 2 über die Web-Oberfläche in den Zertifikatdienst ein und erhalte die .cer.
Wenn ich dann die .cer im Exchange einspiele, wird mir das Zertifikat aber immer als "Ungültig" angezeigt.

Ich hab inzwischen tierische Kopfschmerzen ...

 

[tRITON]

Welches Zert für welchen Dienst? OWA, TLS, POP, IMAP? Für außen oder nur für Server zu Server Kommunikation?

Mach mal in der Exchange Powershell
get-exchangecertificate | fl thumbprint,CertificateDomains

Kommt da DEIN neues Zert hoch oder welcher thumbprint wird bemängelt?

Edit: Hast du das Cert auch für den entsprechenden Dienst, wenn es darum geht,auch aktiviert mit
enable-exchangecertificate -thumbprint "THUMP" -service smtp,iis,imap,pop

Bitte NICHT einfach eingeben. soll nur ein Beispiel sein

 

[von Schnitzel]

Hi tRITON ... schon wieder ^^

Es ist nur von Server zu Server
Für extern haben eines von einer externen Zertifizierungsstelle.

Ich mach mal ...

Edit:
Es ist mit dabei.
Der Fingerprint stimmt und auch der Antragstellername.

 

[tRITON]

@von Schnitzel Dachte ich auch Morty habe ich doch heute schon mehrfach gesehen

Auch für den richtigen Dienst und auch kein weiteres Zert an diesen Dienst gebunden, also das alte?

 

[von Schnitzel]

Edit: Hast du das Cert auch für den entsprechenden Dienst, wenn es darum geht,auch aktiviert

Die Dinger muss man auch aktivieren?

Das alte wurde ja leider gelöscht, sonst hätte ich es einfach erneuert.

Edit:
Die Dienste hab ich noch nicht zugewiesen. Das hätte ich gemacht nachdem das Zert drin ist.

Edit 2:
Sorry, jetzt hab ich das Zitat von dir erst verstanden ... mir raucht der Kopf...

 

[tRITON]

Das stört den Exchange meistens nicht, es sei denn er wurde rebootet. Meistens siehst du das Cert noch in der Console, dass es an den Dienst gebunden ist.

Ich verstehe leder noch nicht ganz, für was das Cert ist. Exchange 2013 ist schon was her bei mir ...

Es gibt da ein ganz brauchbares HowTo

https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca/

Vielleicht schaust Du mal drüber und entdeckst hier ein Problem beim erstellen des Certs?

Es ist nicht ganz einfach öffentlich über interne Zertifikate zu schreiben Das ist mir bewusst.

Wie lautet denn im Eventlog der Fehler/Fehlercode?

Ergänzung (19. Januar 2021)

Achso ... Sorry Edit erst jetzt gelesen. Du bist nicht der einzige mit Kopfschmerzen heute ...

Dann bitte mit dem Befehl oben noch an den Dienst binden

enable-exchangecertificate -thumbprint "THUMP" -service iis

wenn es der IIS ist ... IIS Restart schadet dann nicht. Oder halt den passenden Servicenamen. THUMP dann mit dem Thumpprint deines Zerts ersetzen

 

[von Schnitzel]

Das Zert wird für die SMTP-Verbindung vom Exchange und einem Dokumentenmanagementprogramm verwendet, über das auch Mails verschickt werden.
Ohne dieses Zertifikat kommt die Meldung, dass der Server keine gesicherte Verbindung unterstützt und so gehen auch keine Mails raus.

Edit:
Der Server wurde noch nicht rebootet ... werde ich auch nicht machen ... ist aber ein anderes Thema.

Edit 2:
Ans Eventlog hab ich noch gar nicht gedacht.

Edit 2,5:
Eventlog lässt sich nicht öffnen ... ich kotz ab.
Was hat mich bloß geritten, als ich hier angefangen habe.

 

[tRITON]

Ok, also dann

enable-exchangecertificate -thumbprint "THUMP" -service smtp

Rein theopraktisch könnte man auch das öffentliche Zert an den SMTP binden. Aber wenn das so vorher nicht war, machen wir das nun auch so jetzt nicht. Hätte die aber die eingene PKI erspart

Ergänzung (19. Januar 2021)

Vielleicht ist das auch nur "VOLL" also sehr groß. Nur Gedult ....

Gerade die Exchange Server sind weltmeister im Fileaccess und blubbern mit X-10000 Dateihandlern rum.

 

[von Schnitzel]

SMTP ist auch an das externe Zertifikat gebunden, nur mag das dieses eine Programm nicht.

Ich habe es geschafft über die MMC reinzukommen.
Dort aber nichts besonderes drin.

Import-ExchangeCertificate

-PrivateKeyExportable "True" -FileName "\\server \c$\certnew.cer" -Server "FQDN "

Domäne/Administration/Administrator

Lange Zahlenfolge

Dieselbe lange Zahlenfolge

Local-ECP-Unknown

Irgendwas MSExchangeECPAppPool

20

00:00:01.547XXXX

Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'FQDN', Bevorzugter globaler Katalog: 'FQDN', Bevorzugte Domänencontroller: '{ FQDN }'

False

0 objects execution has been proxied to remote server.

1

ActivityId: andere lange Zahlenfolge

ServicePlan:;IsAdmin:True;

de-DE

 

[tRITON]

Ok ... So weit, so gut aber. Meckert denn der Exchange noch weiter über das Zert selbst? Du schriebst ja im ersten Post, der Exchange beschwert sicht darüber.

Wenn das nun gelöst wäre, könnte man nun sagen, es bleibt ein neues Problem, dem DMS noch das neue Zert schmackhaft machen.

 

[von Schnitzel]

Es bleibt beim alten, der Exchange sagt immer noch es ist ungültig.
Das war schon ich schon das 8te Zertifikat.
Ich glaube ich gebe auf und versuche etwas runterzukommen. Soll sich der Herr, der das verbockt hat, morgen damit beschäftigen.

Nachtrag
Zum Spaß werde ich mir mal auf meinem kleinen Server hier zuhause auch den Zertifikatdienst einrichten und damit rumprobieren.

 

[snaxilian]

WAS genau meckert der Exchange denn an? Wenn Zertifikate ungültig gemeldet werden kann das viele Ursachen haben: Falsche/fehlende Angaben oder wenn die Gültigkeit nicht überprüft werden kann. Irgendeine (Sub)CA muss das Zertifikat ja ausgestellt haben. Wenn dein DMS jetzt eine Verbindung mit dem Exchange aufbaut dann sieht das DMS das Zertifikat und versucht dieses zu verifizieren. Wenn das DMS aber die ausstellende (sub)CA nicht kennt und dieser nicht vertraut, dann ist aus Sicht des DMS das Zertifikat nix wert und nicht vertrauenswürdig und eben ungültig.

 

[von Schnitzel]

Wenn das DMS aber die ausstellende (sub)CA nicht kennt

Das könnte in der Tat sein.
Die alte CA gibt es ja nicht mehr und vom neuen Server 2 habe ich kein Zert auf Server 1 hinterlegt.
Das werde ich morgen früh mal probieren.

Heute muss ich echt runterkommen.

Thx. an euch beide!

 

[Michael.Scherr]

Hallo,

ist Server2 denn in der AD oder ein Standalone Server? Wenn er in der AD ist dann hat Server1 das root CA automatisch (am besten einmal im Zertifikatsspeicher prüfen).

Wichtig ist aber was genau angemeckert wird, kannst du davon ein Screen posten?

Mit freundlichen Grüßen

Micha

 

[von Schnitzel]

Interessant, die Zertifikate (die ich nicht wieder rausgelöscht hab) sind jetzt als "Gültig" markiert und ich hab eines für SMTP zugewiesen.
Entweder, des dauert bis zum Datumswechsel, oder der Zertifikatsdienst war noch zu frisch.

@Michael.Scherr
Server 2 ist der AD.
Heute sehe ich ein Zertifikat, das gestern noch nicht da war.

Guuut, dann komme ich zum zweiten Teil meines Problems.
Wir verwenden ein Dokumentenverwaltungsprogramm, mit dem Mails verschickt werden. Dieses verwendete das abgelaufene Zertifikat.
Ich glaube, ich wende mich hier aber an deren Support.

 

[tRITON]

Gute Idee, dann weißt Du zumindest, an welcher Stelle Du das Zert beim DMS eintragen musst und brauchst nicht suchen. Auf was hast Du denn die Gültigkeit für das neue Zert gestellt gehabt? Auf den folgenden Tag?

 

[von Schnitzel]

Eingestellt hatte ich nichts; hab zuminstest nichts gefunden, was ich hätte einstellen können.
Der Exchange hatte von sich aus immer ein Jahr, also den 19.01.2021 festgelegt, daher hab ich per PS die Gültigkeit bei Server 2 auch auf ein Jahr gestellt. Ich dachte zu Anfang, dass es evtl. daran liegen könnte.
Dann hab ich zwar das Spielchen nächstes Jahr wieder, aber weiß dann was zu tun ist.

 

[tRITON]

Ja, aber da hast Du dann ja eine Doku für samt aller Befehle. Ich hoffe, Du bekommst nun noch DMS ans rennen und kannst dann die Füße wieder hoch legen

 

[von Schnitzel]

Ja, aber da hast Du dann ja eine Doku für samt aller Befehle.

Haha, der war gut😂 🤨 Nein, fehlanzeige.
Learning by doing, aber ich kann zumindest den Support mit meinen Fragen in den Wahnsinn treiben.

Füße hoch ist hier leider nicht; gibt viele Baustellen von früher inkl. dieses Jahr die Anschaffung neuer Server.
Eigentlich alles ein Job für zwei, aber dank der aktuellen Situation nicht drin.

 

[Michael.Scherr]

Guuut, dann komme ich zum zweiten Teil meines Problems.
Wir verwenden ein Dokumentenverwaltungsprogramm, mit dem Mails verschickt werden. Dieses verwendete das abgelaufene Zertifikat.
Ich glaube, ich wende mich hier aber an deren Support.

Hallo,

dann wären das aber wirklich zwei Probleme, weil das Zertifikat welches du am SMTP Dienst auf dem Exchange bindest nicht beim DMS hinterlegen musst. Der Exchange zeigt es beim Aushandeln der SMTP Kommunikation vor und gut ist. Es muss für den DMS Server nur valide sein (Herausgeber, ggfl. Name des Zertifikats und Gültigkeitszeitraum).

Du könntest in die SMTP Protokolle auf dem Exchange schauen wo es da klemmt. Ist der DMS Server auch in der Domäne? Hat der Server auch das neue RootCA in dem vertrauenswürdigen Stammzertifizierungsspeicher?

Mit freundlichen Grüßen

Michael