Abgelaufenes SMTP-Zertifikat und Multible Domain Certificate

17/12/2008 - 18:50 von Alexander Brückner | Report spam
Hallo,

wir haben ein Exchange 2007 SP1 auf einem Windows 2003 64 Bit. Seit
kurzem taucht im Ereignisfenster folgende Meldung auf:

Ereignistyp: Fehler
Ereignisquelle: MSExchangeTransport
Ereigniskategorie: TransportService
Ereigniskennung: 12016
Datum: 17.12.2008
Zeit: 16:07:06
Benutzer: Nicht zutreffend
Computer: COMPUTERNAME
Beschreibung:
Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für
den FQDN von 'COMPUTERNAME.DOMAENE.de' vorhanden. Das vorhandene
Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung
dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein
neues Zertifikat, das den FQDN von 'COMPUTERNAME.DOMAENE.de' enthàlt,
sollte so bald wie möglich auf diesem Server installiert werden. Sie
können ein neues Zertifikat mithilfe des Tasks 'New-ExchangeCertificate'
erstellen.

Auf dem Server wurden mehrere Zertifikate (mit dem Server selbst
erstellt) einmal installiert. Unter anderem zum Schluss ein
Wildcardzertifikat (*.DOMAENE.de). Dieses wird jetzt zur Zeit benutzt im
IIS.

Mit dem Befehl "get-exchangecertificate" sehe ich folgendes:

-
Thumbprint Services Subject
BDC829CDA5E9EAF67... . CN=COMPUTERNAME.DOMAENE...
AA21FF5C02D1E3AF2... ...W. E=administrator@DOMAENE...
1A182BB2AFC102CBF... IP... E=administrator@DOMAENE...
3D98C292300A72046... . E=administrator@DOMAENE...
1BD197A45E5EDC0CB... . E=administrator@DOMAENE...
EBDED9216EC34CDFC... . E=administrator@DOMAENE...
19FF1171F3E246999... . E=MEINNAME@DOMAENE...
DFA35F5E6EF7426EF... . CN=COMPUTERNAME.DOMAENE...
477348B530A700382... S CN=COMPUTERNAME
-

Das Zertifikat "477348B530A700382..." ist das, was dabei abgelaufen ist.
Dieses Zertifikat existiert aber nicht mehr im Snap
"Zertifizierungsdienst" von Windows (war wohl Nr. 1, die ist weg). Der
IIS benutzt das Zertifikat "AA21FF5C02D1E3AF2...".

Da dieses eine Zertifikat nicht existiert, weiß ich nicht, welche Daten
darin standen. Ich weiß also nicht, ob ich über die
Zertifizierungsstelle (Browser) einfach ein neues erstellen muss, oder
ob ich mit dem "Enable-ExchangeCertificate"-Befehl SMTP setzen muss auf
ein Zertifikat. Kann mir jemand weiter helfen???


Ne andere Frage wàre, wir wollen ein externen Anbieter für unseren
Exchange-Zertifikat benutzen. Im Auge haben wir da "GoDaddy.com" mit
einem Multi-Domain-Standard-Zertifikat. Meine Frage diesbezüglich wàre,
hat jemand Erfahrungen mit diesem Anbieter und kann mir erzàhlen, ob
auch Handys (PushMail) damit funktionieren??? Würde das bei meinem
aktuellen Problem helfen, und oder muss ich da bestimmtes beachten, und
wenn ja wie???

Zu erwàhnen ist, dass obwohl dieser Event-Fehler da ist, trotzdem
E-Mailversand und das bekommen von E-Mails weiterhin funktioniert.


Viele Grüße,

Alexander
 

Lesen sie die antworten

#1 Frank Carius \(MVP\)
17/12/2008 - 21:47 | Warnen spam
"Alexander Brückner" schrieb im Newsbeitrag
news:%23h6xy$
Hallo,

Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für
den FQDN von 'COMPUTERNAME.DOMAENE.de' vorhanden. Das vorhandene
Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung
dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues
Zertifikat, das den FQDN von 'COMPUTERNAME.DOMAENE.de' enthàlt, sollte so
bald wie möglich auf diesem Server installiert werden. Sie können ein
neues Zertifikat mithilfe des Tasks 'New-ExchangeCertificate' erstellen.



dann mach das einfach mal

Auf dem Server wurden mehrere Zertifikate (mit dem Server selbst erstellt)
einmal installiert. Unter anderem zum Schluss ein Wildcardzertifikat
(*.DOMAENE.de). Dieses wird jetzt zur Zeit benutzt im IIS.



Ja aber nicht für SMTP !!! (Siehe Services)
du kannst nun ein
enable-certificate -thumprint 1A182BB2AFC102CBF -services SMTP
machen, damit dein Wildcard auch für SMTP genutzt wird



Das Zertifikat "477348B530A700382..." ist das, was dabei abgelaufen ist.
Dieses Zertifikat existiert aber nicht mehr im Snap
"Zertifizierungsdienst" von Windows (war wohl Nr. 1, die ist weg). Der IIS
benutzt das Zertifikat "AA21FF5C02D1E3AF2...".



Hast du dich dabei auch mit "localmachine" verbunden und nich tmit "current
User" ?

Ne andere Frage wàre, wir wollen ein externen Anbieter für unseren
Exchange-Zertifikat benutzen. Im Auge haben wir da "GoDaddy.com" mit einem
Multi-Domain-Standard-Zertifikat. Meine Frage diesbezüglich wàre, hat
jemand Erfahrungen mit diesem Anbieter und kann mir erzàhlen, ob auch
Handys (PushMail) damit funktionieren??? Würde das bei meinem aktuellen
Problem helfen, und oder muss ich da bestimmtes beachten, und wenn ja
wie???



Ich habe bislang nichts schlechtes gehört. die RootCA scheint auf den PDAs z
usein.

Zu erwàhnen ist, dass obwohl dieser Event-Fehler da ist, trotzdem
E-Mailversand und das bekommen von E-Mails weiterhin funktioniert.



Ich vermute du hast "GENAU EINEN" Exchange Server. dann geht das auch, wenn
die geenseite kein SSL macht

Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Wenn es die Zeit erlaubt, dann rufe ich auch an. Nummer/Mailadresse ?
:-) --

Ähnliche fragen