wolle
Jan 10, 2020
view5224
view7
0
Goto Top

LetsEncrypt Zertifikat bleibt im Exchange trotz "Abschließen" auf ausstehende Anforderung

GermansolvedQuestionExchange ServerMicrosoft
Hallo, habe ein Zertifikats Problem beim Exchange2019.
Bisher gemacht: mit dem Plugin LetsEncrypt in der OpnSense ein Zertifikat angefordert und auch bekommen (keine Probleme ersichtlich)
Im Exchange 2019 unter Server/Zertifikate eine Anforderung erstellt (soweit kein Problem oder Fehlermeldung)
Dann mit "Abschließen" das Zertifikat importiert, keine Fehlermeldung (Ereignisprotokoll). Leider bleibt im Exchange Admin Center die Anforderung bestehen.
im Ereignisprotokoll steht folgendes:

Cmdlet suceeded. Cmdlet New-ExchangeCertificate, parameters -PrivateKeyExportable
"True" -FriendlyName "outlook.meinefirma.de"
-SubjectName "System.Security.Cryptography.X509Certificates.X500DistinguishedName"
-DomainName ("outlook.meinefirma.de","AutoDiscover.meinefirma.de")
-RequestFile "\\Server2019-01\c$\Zertifikat\Anforderung1"
-GenerateRequest "True" -Server "SERVER2019-01" -KeySize "2048".
____________________________________________________________________________________

Cmdlet suceeded. Cmdlet Import-ExchangeCertificate, parameters -PrivateKeyExportable "True" -FileName "\\server2019-01\c$\Zertifikat\outlook.meinefirma.de+(Let's+Encrypt).crt"
-Server "Server2019-01.ad.meinefirma.de".

Dort wird doch angezeigt, das die Anforderung OK ist und dann auch der Import geklappt hat.
Warum bleibt dann die Anfrage bestehen und ich kann dann leider keine Dienste anbinden?

Viele Grüße
Wolle
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 533576

Url: https://administrator.de/contentid/533576

Printed on: April 25, 2024 at 09:04 o'clock

7 Comments
Latest comment
Goto Top
Member: goscho
goscho Jan 10, 2020 at 11:22:22 (UTC)
Goto Top
Hi Wolle,

starte doch mal den IIS des Exchange-Servers neu. Vielleicht hilft das.
Member: Wolle
Wolle Jan 10, 2020 at 13:26:01 (UTC)
Goto Top
Hallo, habe ich schon gemacht, auch den ganzen Server2019 mit dem Exchange habe ich neu gebootet, leider bleibt es dabei, ich frage mich nur, warum habe ich keine Fehlermeldung bekommen. Wenn ich erneut abschließe bekomme ich die Meldung:

Ein spezieller RPC-Fehler ist auf Server SERVER2019-01 aufgetreten: Das Zertifikat kann nicht importiert werden, da bereits ein Zertifikat mit dem Fingerabruck vorhanden ist.

Also ist das Zertifikat doch importiert, nur der Exchange zeigt es nicht als "Gültig" an.
Member: bloodstix
bloodstix Jan 10, 2020 at 14:23:55 (UTC)
Goto Top
Hi,

was gibt den get-exchangecertificates | fl in der exchange-management-shell aus ?
Und hast du auch enable-exchangecertificate nach dem import gemacht?

Grüße
bloody
Member: Wolle
Wolle Jan 10, 2020 at 19:58:49 (UTC)
Goto Top
Hallo, ich habe das nun soweit importiert, allerdings bekomme ich für das neue Zertifikat keine Bindung zu SMTP, auch keine Fehlermeldung wenn ich das in der EMS mit Enable-ExchangeCertificate -Thumbprint D4925DE4822B7FCADD6D56F1F83EFADB3DDB405C -Services POP,IMAP,IIS,SMTP mache, es kommt nur die Nachfrage
Aktuelles Zertifikat: 'EA88094EAE4068CCD04CC1BAD32A04CC1736FC7B' (läuft am 09.01.2025 23:25:15 ab)
Ersetzen durch Zertifikat: 'D4925DE4822B7FCADD6D56F1F83EFADB3DDB405C' (läuft am 05.04.2020 01:27:46 ab)

Wenn ich dann mit get-exchangecertificate | fl abfrage erscheint das hier, mit leider keiner Bindung zu SMTP

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {outlook.meinefirma.de, AutoDiscover.meinefirma.de}
HasPrivateKey : True
IsSelfSigned : False
Issuer : C=DE, S=NRW, L=Ahlen, O=meinefirma, OU=IT, CN=outlook.meinefirma.de
NotAfter : 10.01.2021 17:46:09
NotBefore : 10.01.2020 17:26:09
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 1935C94EDFE055994334885A5702046B
Services : None
Status : PendingRequest
Subject : C=DE, S=NRW, L=Ahlen, O=meinefirma, OU=IT, CN=outlook.meinefirma.de
Thumbprint : 97970B0B29BB09C1B3AA33BC344CDF1242A9327B

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=Microsoft Exchange Server Auth Certificate
NotAfter : 13.12.2024 23:27:44
NotBefore : 09.01.2020 23:27:44
PublicKeySize : 2048
RootCAType : None
SerialNumber : 111A00B02A373FAD4493FA7FBEBCA231
Services : None
Status : Valid
Subject : CN=Microsoft Exchange Server Auth Certificate
Thumbprint : 41518140F4443D4E9542707B5DD2C562C4DB57CD

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Server2019-01, Server2019-01.ad.meinefirma.de}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=Server2019-01
NotAfter : 09.01.2025 23:25:15
NotBefore : 09.01.2020 23:25:15
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 1E52B25A7F9097B94E6F7E62C09D1327
Services : IIS
Status : Valid
Subject : CN=Server2019-01
Thumbprint : EA88094EAE4068CCD04CC1BAD32A04CC1736FC7B

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {WMSvc-SHA2-SERVER2019-01}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=WMSvc-SHA2-SERVER2019-01
NotAfter : 06.01.2030 22:29:53
NotBefore : 09.01.2020 22:29:53
PublicKeySize : 2048
RootCAType : Registry
SerialNumber : 698F9B64A627F0B343A6E9B011F197E1
Services : None
Status : Valid
Subject : CN=WMSvc-SHA2-SERVER2019-01
Thumbprint : FA652A067B06A2E00F7D2E795A4FA5DFDF924376

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule,
System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {outlook.meinefirma.de, autodiscover.meinefirma.de}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US
NotAfter : 05.04.2020 01:27:46
NotBefore : 06.01.2020 00:27:46
PublicKeySize : 4096
RootCAType : ThirdParty
SerialNumber : 035B895CE6DC06C909DFC81069EE86D76763
Services : IMAP, POP, IIS
Status : Valid
Subject : CN=outlook.meinefirma.de
Thumbprint : D4925DE4822B7FCADD6D56F1F83EFADB3DDB405C


Ich bin eigentlich davon ausgegangen, das die notwendigen "Schritte" automatisch ablaufen, wenn ich über das Exchange Admin Center importiere.
Member: bloodstix
bloodstix Jan 10, 2020 at 21:01:31 (UTC)
Goto Top
Hi,

hm das sieht komisch aus.
Aber ich glaub man kann die "Services" auch nachträglich ändern.
Versuch mal den Enable-Command nochmal abzusetzen aber mit dne Services in "" oder ''.
Normal mach ich das auch so wie du und es hat bisher immer funktioniert.

Gruß
bloody
Member: Wolle
Wolle Jan 10, 2020 at 21:27:37 (UTC)
Goto Top
Hallo, leider kein Erfolg, aber auch keine Fehlermeldung. Ist schon sonderbar, was könnte ich noch checken?
Member: Wolle
Wolle Jan 12, 2020 at 12:56:07 (UTC)
Goto Top
Hallo, habe das Problem nun gelößt.
Ich habe den neuen Certificate Assistant von FrankysWeg genutzt, der hat dann alles geradegebogen. Ich habe damit ein neues Zertifikat angefordert, das wurde dann automatisch importiert und mit den Diensten verbunden, alles super.
Euch noch vielen Dank für die Denkanstöße und besonderen Dank an "Franky" für den Assistant !!

Einen schönen Sonntag noch
Wolle
GermansolvedQuestionExchange ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments