Zum Inhalt springen

Exchange 2007 - Certificate - Services

Lloyd Christmas

Von Lloyd Christmas
in Windows

 Teilen

Empfohlene Beiträge

Lloyd Christmas

Lloyd Christmas

Geschrieben
Geschrieben

Hallo,

wie kann einem Certificate einen Service wieder entfernen?

Beispiel: mein internes Cerfiticate hat SMTP als Service aktiviert. Ich habe nun ein neues SAN-Cert und das soll IIS machen, könnte aber auch SMTP übernehmen, da es alle FQDNs beinhaltet. Das alte interne ist auch abgelaufen.

Wenn ich dem neuen Certif den Service mitgebe, bekommt er den auch aber das alte behält ebenfalls ein "S" unter Services.

Danke

Lloyd

pantsoff

pantsoff

Geschrieben
Geschrieben

Hallo,

mit genau diesem Shell-Script sollte es aber gehen.

Fehlermeldung nach Script-Abschuss?

Versuch mal nur

Enable-ExchangeCertificate -Services None

Ansonsten Hilfe einblenden mit

get-help

oder

-examples

da_doni

da_doni

Geschrieben
Geschrieben

Wenn das alte Zertifikat abgelaufen ist und du das neue Zertifikat schon für die entsprechenden Services aktiviert hast, warum entfernst du dann nicht das alte Zertifikat einfach mittels "Remove-ExchangeCertificate"?

Lloyd Christmas

Lloyd Christmas

Geschrieben
  • Autor
Geschrieben
Wenn das alte Zertifikat abgelaufen ist und du das neue Zertifikat schon für die entsprechenden Services aktiviert hast, warum entfernst du dann nicht das alte Zertifikat einfach mittels "Remove-ExchangeCertificate"?

da läuft noch imap und pop drüber, was auf einem anderen zert nicht aktiviert ist. gibt das remove denn dann nicht irgendwelche probleme bzw. sollte ich dann nicht ein neue self-signed zert erstellen und importieren?

pantsoff

pantsoff

Geschrieben
Geschrieben

Ist echt bescheiden, dass es im Exchange 2007 noch keine GUI für die Zertifikatsverwaltung gibt. Brauchst du überhaupt ein Zert für POP und IMAP/Nutzt du diese Dienste mit Zertifikat?

Versuche doch mal dem neuen Zert alle Dienste zuzuweisen.

Eventlog des Servers irgendwelche Einträge?

Ansonsten wie du gesagt hast, versuche ein neues Zert für diese Dienste zu erstellen.

Ob das ein self-signed ist oder nicht, musst du entscheiden.

da_doni

da_doni

Geschrieben
Geschrieben
da läuft noch imap und pop drüber, was auf einem anderen zert nicht aktiviert ist. gibt das remove denn dann nicht irgendwelche probleme bzw. sollte ich dann nicht ein neue self-signed zert erstellen und importieren?

Benutzt ihr den IMAP bzw. POP auf Zertifikatsbasis? Es müssten Zertifikatsfehler aufgefallen sein, weil das Zertifikat ausgelaufen ist. ;-)

Wenn nicht, kannst du die Services einfach auf das neue Zertifikat umlegen und die Dienste in der entsprechenden MMC deaktivieren.

Lloyd Christmas

Lloyd Christmas

Geschrieben
  • Autor
Geschrieben

also ich habe im eventlog hinweise, dass ein internes transportzertifikat ausgelaufen ist... aber der exchange arbeitet normal weiter. ich glaube der einzige dienst, wo ein zertifikat verwendet wird ist iis, wegen owa.

dann könnte ich das interne, abgelaufe zerti ja deaktivieren...

aber ich kann es nicht exportieren, bekomme immer eine fehlermeldung bei befehl es zu exportieren:

Der Exportbefehl:


Export-ExchangeCertifikate -Thumbprint xxxxxxxxxxxxxxxxxxx -BinaryEncoded:$true -Password (Get-Credential).password
Dann werde ich nach Benutzername und PW gefragt und egal ob ich Domain-Admin, local Admin oder sonst einen User angebe, scheitert mit folgender Fehlermeldung: 
Der Zugriff auf den privaten Schlüssel ist nicht möglich, oder er kann nicht exportiert werden, weshalb das Zertifikat nicht als PKCS-12 exportiert werden kann.

pantsoff

pantsoff

Geschrieben
Geschrieben

warum exportieren? Du willst es doch deaktivieren.

Ich glaube deine Eventlog meckert nur, weil das abgelaufene Zert auch für den SMTP Dienst aktiviert war.

pantsoff

pantsoff

Geschrieben
Geschrieben

Auch Outlook benötigt ein gültiges Zertifikat für Abwesenheitsassistent, Autodiscover etc.

Ich verstehe dein Problem nicht, hau alle Zertifikate raus und erstelle ein neues.

Weise diesem die Dienste zu, die du benötigst.

pantsoff

pantsoff

Geschrieben
Geschrieben

Im IIS kann immer nur ein Cert zugewiesen sein (für Port 443 z. B.).

Inwiefern laufen bei dir jetzt zwei Certs? Das SAN allein sollte reichen, sofern es alle nötigen Einträge enthält.

Lloyd Christmas

Lloyd Christmas

Geschrieben
  • Autor
Geschrieben

also das owa läuft mit cert, das ist auf dem san-cert aktiviert, inkl. pop & imap.

mit dem alten, welches mit smtp aktiviert war, habe ich folgendes gemacht: 

Get-ExchangeCertificate -Thumbprint xxxx | New-ExchangeCertificate

dann wurde ein neues erstellt, welche 12 monate gültig ist und wo smtp aktiviert ist.

das alte habe ich dann removed...

fehlermeldungen sind nun weg...

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...