Donnerstag, 19. Juli 2012

Exchange 2007 SSL Zertifikat abgelaufen - Anleitung zum Verlängern des ausgelaufenen Zertifikats SBS2008

Hinweise
  • Der SBS2008 verhält sich anders. Bitte am Endes des Artikels die Besonderheiten lesen!
  • Die Anleitung ist mit Vorsicht zu genießen und Bedarf einer Überarbeitung. Bitte lesen Sie die Kommentare der Benutzer durch.


Jeder Jahr wieder (das selbst erstellte Zertifikat lässt sich nur um ein Jahr verlängern) kommt unverhofft die Fehlermeldung, dass das Exchange-Server Zertifikat ausgelaufen ist.

Über die Exchange Verwaltungskonsole lässt es sich jedoch problemlos verlängern.

Zunächst gilt es festzustellen, welches Zertifikat ausgelaufen ist:
get-exchangecertificate | fl thu*,notafter,services,certificatedomains
Dieser Befehl gibt komfortabel den Thumbprint, die dazugehörigen Dienste, den Domainnamen und das Datum aus, von den bisher selbst erstellen Zertifikaten.

Wenn man das betreffende Zertifikat gefunden hat, wird es wie folgt verlängert und aktiviert:
get-exchangecertificate -thumbprint "xxx" | new-exchangecertificate
Die folgende Meldung zum Überschreiben des Zertifikats muss mit "J(a)" bestätigt werden. Mit dem o.g. Befehl kann nun nachvollzogen werden, dass ein neues Zertifikat (mit neuem Thumbprint) erzeugt wurde:
get-exchangecertificate | fl thu*,notafter,services,certificatedomains
Es ist darauf zu achten, dass das Zertifikat wieder an die gleichen Dienste (Services) gebunden wird, meist fehlt der IIS-Dienst! Das Hinzufügen des Dienstes zum neuen Zertifikat erfolgt mit:
enable-exchangecertificate -thumbprint "yyy" -services IIS

Nicht vergessen, alles hinterher zu überprüfen:
get-exchangecertificate | fl thu*,notafter,services,certificatedomains


Anleitung für den SBS2008:
Nachdem wie oben ein Zertifikat erstellt wurde, muss das Zertifikat noch aktiviert werden:
- Starten der "Windows SBS Console" -> Freigegebene Ordner und Websites -> Websites
- "Outlook Web Access" -> Eigenschaften der Website anzeigen -> Erweiterte Einstellungen -> IIS Manager
- Servername aufklappen -> Sites
- Rechtsklick auf "SBS Web Applications" -> Bindungen -> HTTPS auswählen -> Bearbeiten -> neues Zertifikat auswählen

10 Kommentare:

  1. wow, vielen dank!!!
    hat mir sicherlich stunden an arbeit erspart :)

    AntwortenLöschen
  2. Komischerweise wird das Zertifikat jetzt von den Clients als nicht vertrauenswürdig erkannt - da der Zertifizierungsstelle nicht vertraut wird. Eine Idee dazu?

    AntwortenLöschen
  3. Was für einen Server setzen Sie ein? Exchange 2007 oder einen SBS-Server? Am besten melden Sie sich per E-Mail (siehe Profil).

    AntwortenLöschen
  4. Hallo,

    ich bekomme in der IIS Übersicht angezeigt, das mein Zertifikat nicht vertrauenswürdig ist.

    AntwortenLöschen
  5. Bei SBS2008 muss eigentlich nur einmal der Assistent "Internetadresse einrichten" aus den Tasks in der SBS Konsole ausgeführt werden. Dann mach der alles von allein und das Zertifikat läuft 2 Jahre!

    AntwortenLöschen
    Antworten
    1. Bei SBS 2008 bite wie folgt verlängern:

      SBS Konsole:
      -> Netzwerk
      -> Konnektivität
      -> rechtes Panel: Beheben von Netzwerkproblemen
      Der Assistent erkennt nun selbstständig, dass das Zertifikat abeglaufen ist und bietet die Verlängerung an.

      Löschen
    2. Das Zertifikat wir als nicht vertrauenswürdig eingestuft, da es selbstsigniert ist! Exchange Zertifikate können durch eine Domänen-Zertifizierungsstelle signiert werden. Hier gibt es dafür eine gute Anleitung: http://msexchangefaq.de/howto/e2k7ssl.htm

      Löschen
  6. Vielen Dank für die vielen Kommentare. Ich werde bei Gelegenheit eine neue Anleitung erstellen, gleich mit für den SBS2011 und auch auf die Vorteile von öffentlichen Zertifikaten eingehen, um die o.g. Probleme zu umgehen.

    AntwortenLöschen
  7. Hallo zusammen,

    wie verhält sich das ganze bei einem SBS 2011?

    Kann ich hier die gleichen Befehler verwenden?

    Viele Grüße,

    Chris

    AntwortenLöschen
  8. Beim SBS2011 ist die Verlängerung eines selbst erstellten Zertifikats sehr einfach.

    Dazu rufen Sie einfach die SBS Konsole auf, klicken auf Netzwerk, danach auf Konnektivität und rechts auf die Aufgabe "Beheben von Netzwerkproblemen". Wenn der Assistent durchläuft, muss als Fehlerbehebung nur die Aktion zur Verlängerung des abgelaufenen Zertifikats durchgeführt werden. Bitte tragen Sie die gleichen Daten im Assistenten ein wie bei der Einrichtung, sofern Sie dazu gefragt werden.

    Viel Erfolg!

    AntwortenLöschen

Sie haben hier die Gelegenheit, einen Kommentar zu hinterlassen.