Lloyd Christmas Geschrieben 7. Juni 2011 Geschrieben 7. Juni 2011 Hallo, wie kann einem Certificate einen Service wieder entfernen? Beispiel: mein internes Cerfiticate hat SMTP als Service aktiviert. Ich habe nun ein neues SAN-Cert und das soll IIS machen, könnte aber auch SMTP übernehmen, da es alle FQDNs beinhaltet. Das alte interne ist auch abgelaufen. Wenn ich dem neuen Certif den Service mitgebe, bekommt er den auch aber das alte behält ebenfalls ein "S" unter Services. Danke Lloyd Zitieren
Lloyd Christmas Geschrieben 7. Juni 2011 Autor Geschrieben 7. Juni 2011 Mit dem Befehler Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXX - Services None gehts nicht... bleiben weiterhin alle dienste stehen... Zitieren
pantsoff Geschrieben 7. Juni 2011 Geschrieben 7. Juni 2011 Hallo, mit genau diesem Shell-Script sollte es aber gehen. Fehlermeldung nach Script-Abschuss? Versuch mal nur Enable-ExchangeCertificate -Services None Ansonsten Hilfe einblenden mit get-help oder -examples Zitieren
Lloyd Christmas Geschrieben 7. Juni 2011 Autor Geschrieben 7. Juni 2011 keine fehlermeldung... die beispiele sagen leider genau das gleiche... Zitieren
da_doni Geschrieben 7. Juni 2011 Geschrieben 7. Juni 2011 Wenn das alte Zertifikat abgelaufen ist und du das neue Zertifikat schon für die entsprechenden Services aktiviert hast, warum entfernst du dann nicht das alte Zertifikat einfach mittels "Remove-ExchangeCertificate"? Zitieren
Lloyd Christmas Geschrieben 8. Juni 2011 Autor Geschrieben 8. Juni 2011 Wenn das alte Zertifikat abgelaufen ist und du das neue Zertifikat schon für die entsprechenden Services aktiviert hast, warum entfernst du dann nicht das alte Zertifikat einfach mittels "Remove-ExchangeCertificate"? da läuft noch imap und pop drüber, was auf einem anderen zert nicht aktiviert ist. gibt das remove denn dann nicht irgendwelche probleme bzw. sollte ich dann nicht ein neue self-signed zert erstellen und importieren? Zitieren
pantsoff Geschrieben 8. Juni 2011 Geschrieben 8. Juni 2011 Ist echt bescheiden, dass es im Exchange 2007 noch keine GUI für die Zertifikatsverwaltung gibt. Brauchst du überhaupt ein Zert für POP und IMAP/Nutzt du diese Dienste mit Zertifikat? Versuche doch mal dem neuen Zert alle Dienste zuzuweisen. Eventlog des Servers irgendwelche Einträge? Ansonsten wie du gesagt hast, versuche ein neues Zert für diese Dienste zu erstellen. Ob das ein self-signed ist oder nicht, musst du entscheiden. Zitieren
da_doni Geschrieben 8. Juni 2011 Geschrieben 8. Juni 2011 da läuft noch imap und pop drüber, was auf einem anderen zert nicht aktiviert ist. gibt das remove denn dann nicht irgendwelche probleme bzw. sollte ich dann nicht ein neue self-signed zert erstellen und importieren? Benutzt ihr den IMAP bzw. POP auf Zertifikatsbasis? Es müssten Zertifikatsfehler aufgefallen sein, weil das Zertifikat ausgelaufen ist. ;-) Wenn nicht, kannst du die Services einfach auf das neue Zertifikat umlegen und die Dienste in der entsprechenden MMC deaktivieren. Zitieren
Lloyd Christmas Geschrieben 9. Juni 2011 Autor Geschrieben 9. Juni 2011 also ich habe im eventlog hinweise, dass ein internes transportzertifikat ausgelaufen ist... aber der exchange arbeitet normal weiter. ich glaube der einzige dienst, wo ein zertifikat verwendet wird ist iis, wegen owa. dann könnte ich das interne, abgelaufe zerti ja deaktivieren... aber ich kann es nicht exportieren, bekomme immer eine fehlermeldung bei befehl es zu exportieren: Der Exportbefehl: Export-ExchangeCertifikate -Thumbprint xxxxxxxxxxxxxxxxxxx -BinaryEncoded:$true -Password (Get-Credential).password Dann werde ich nach Benutzername und PW gefragt und egal ob ich Domain-Admin, local Admin oder sonst einen User angebe, scheitert mit folgender Fehlermeldung: Der Zugriff auf den privaten Schlüssel ist nicht möglich, oder er kann nicht exportiert werden, weshalb das Zertifikat nicht als PKCS-12 exportiert werden kann. Zitieren
pantsoff Geschrieben 9. Juni 2011 Geschrieben 9. Juni 2011 warum exportieren? Du willst es doch deaktivieren. Ich glaube deine Eventlog meckert nur, weil das abgelaufene Zert auch für den SMTP Dienst aktiviert war. Zitieren
Lloyd Christmas Geschrieben 9. Juni 2011 Autor Geschrieben 9. Juni 2011 braucht der exchange denn ueberhaupt ein zertifikat? Zitieren
Lloyd Christmas Geschrieben 10. Juni 2011 Autor Geschrieben 10. Juni 2011 Ohne Zertifikat kein OWA.... ja, aber ansonsten benötigt der exchange kein zertifikat, oder? Zitieren
pantsoff Geschrieben 11. Juni 2011 Geschrieben 11. Juni 2011 Auch Outlook benötigt ein gültiges Zertifikat für Abwesenheitsassistent, Autodiscover etc. Ich verstehe dein Problem nicht, hau alle Zertifikate raus und erstelle ein neues. Weise diesem die Dienste zu, die du benötigst. Zitieren
Lloyd Christmas Geschrieben 11. Juni 2011 Autor Geschrieben 11. Juni 2011 erledigt! owa und der abwesenheitsassi laufen ueber das san zert und ich hab zusaetzlich ein neues internes erstellt... laeuft alles ohne fehler weiter... Zitieren
pantsoff Geschrieben 12. Juni 2011 Geschrieben 12. Juni 2011 Im IIS kann immer nur ein Cert zugewiesen sein (für Port 443 z. B.). Inwiefern laufen bei dir jetzt zwei Certs? Das SAN allein sollte reichen, sofern es alle nötigen Einträge enthält. Zitieren
Lloyd Christmas Geschrieben 14. Juni 2011 Autor Geschrieben 14. Juni 2011 also das owa läuft mit cert, das ist auf dem san-cert aktiviert, inkl. pop & imap. mit dem alten, welches mit smtp aktiviert war, habe ich folgendes gemacht: Get-ExchangeCertificate -Thumbprint xxxx | New-ExchangeCertificate dann wurde ein neues erstellt, welche 12 monate gültig ist und wo smtp aktiviert ist. das alte habe ich dann removed... fehlermeldungen sind nun weg... Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.