Forums Neueste Beiträge
 

Zertifikat fehlt lt. Eregnisanzeige / SSL Problem

21/08/2007 - 15:40 von Björn | Report spam
Hallo Newsgroup:

Noch mal mein SSL Zerifikatsproblem, wo ich leider nicht so richtig
weiterkomme:

Allgemein möchte ich gern IMAP/SMTP mit SSL auf unserem Exchange2007
verwenden. OS: Win 2003 64 Bit.

Es sind auf dem Server vier "accepted domains" eingerichtet:


firma.local (ads-domain)
firma.de
firma.eu
firma.at
ex2k7.firma.local is the FQDN hostname des exchange servers.

Ich habe folgendes gemacht.

1.) neuen Zerifikatrequest erstellt:

New-ExchangeCertificate -GenerateRequest -SubjectName
"cÞ,o=Firma,cn=ex2k7.firma.local" -IncludeAcceptedDomains
-PrivateKeyExportable:$true -DomainName ex2k7, mail.firma.at,
mail.firma.de, mail.firma.eu -KeySize 4096 -Path
C:\certrequest_ex2k72007_20070821.req


Danach diesen Request in einer eigenen 3rd party CA unterschrieben.

Danach das Zertifikat importiert:

2.) Import-ExchangeCerificate C:\cert.cer

und

3.) Enable-ExchangeCertificate -Thumbprint
96DDF85F0BB6D4269F4AE942A78A3162C31EDFC5 -Services SMTP,IIS,IMAP.

aktiviert für SMTP, IIS, IMAP


Mit Get-ExchangeCertificate bekomme ich:

Thumbprint Services Subject
96DDF85F0BB6D4269F4AE942A78A3162C31EDFC5 SIP.W CN=ex2k7.firma.local, O...


mit Get-ExchangeCertificate | fl:

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System
.Security.AccessControl.CryptoKeyAccessRule,
System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {ex2k7.firma.local}
HasPrivateKey : True
IsSelfSigned : False
Issuer : E=ca.admin@firma.de, CN=firma.R21.host.CA, OU=R21,
O=Firma, L=Ort, S=State, CÞ
NotAfter : 8/20/2010 12:14:04 PM
NotBefore : 8/21/2007 12:14:04 PM
PublicKeySize : 2048
SerialNumber : 2D
Status : Invalid
Subject : CN=ex2k7.firma.local, O=Firma, CÞ
Thumbprint : 96DDF85F0BB6D4269F4AE942A78A3162C31EDFC5

Irritierend ist der der Status: invalid. (Warum?) Die
Zerifizierungskette ist bis zur root-CA gegeben und die
Zwischenzerifizierungsstellen und die Root-CA ist mit installiert.


https:// access auf das OWA klappt, Outlook 2007 meldet ebenfalls keine
Probleme.

ABER:

Aller 15 min erhalte ich in der Ereignisanzeige folgende Meldung:

Event Type: Error
Event Source: MSExchangeTransport
Event Category: TransportService
Event ID: 12013
Date: 8/21/2007
Time: 2:11:50 PM
User: N/A
Computer: MSX2007
Description:
Microsoft Exchange couldnΓÇÖt find a certificate with a thumbprint of
5EE9222CFAD777329B65338EDED18E4E9EB01C2E in the personal store on the
local computer. This certificate was configured for authentication with
other Exchange servers. Mail flow to other Exchange servers will be
affected by this error. If the certificate with this thumbprint still
exists in the personal store, run Enable-ExchangeCertificate
5EE9222CFAD777329B65338EDED18E4E9EB01C2E ΓÇôservices SMTP to resolve the
issue. If the certificate doesnΓÇÖt exist in the personal store, restore
it from backup by using the Import-ExchangeCertificate cmdlet, or create
a new certificate for the FQDN or the server enabled for SMTP by using
New- ExchangeCertificate ΓÇôdomainname serverfqdn ΓÇôservices SMTP.

For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.


Eigtl. dachte ich, dass das schon erledigt ist mit dem oben genannten.
(Neustart bringt auch nix). Dieser vermisste Thumbprint
ist auch nicht vorhanden, das stimmt schon, aber er
soll doch bitte das installierte Zertifikat nehmen.


Des weiteren sind folgende Meldungen vorhanden:

Event Type: Error
Event Source: MSExchangeTransport
Event Category: TransportService
Event ID: 12014
Date: 8/21/2007
Time: 2:57:57 PM
User: N/A
Computer: MSX2007
Description:
Microsoft Exchange couldn't find a certificate that contains the domain
name ex2k7.firma.local in the personal store on the local computer.
Therefore, it is unable to offer the STARTTLS SMTP verb for any
connector with a FQDN parameter of ex2k7.firma.local. Verify the
connector configuration and the installed certificates to make sure that
there is a certificate with a domain name for every connector FQDN.

For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.



Event Type: Error
Event Source: MSExchangeTransport
Event Category: TransportService
Event ID: 12014
Date: 8/21/2007
Time: 2:11:50 PM
User: N/A
Computer: MSX2007
Description:
Microsoft Exchange couldn't find a certificate that contains the domain
name ex2k7.firma.local in the personal store on the local computer.
Therefore, it is unable to offer the STARTTLS SMTP verb for any
connector with a FQDN parameter of ex2k7.firma.local. Verify the
connector configuration and the installed certificates to make sure that
there is a certificate with a domain name for every connector FQDN.

For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.



Was wird für einen SSL-IMAP Zugriff unter E2K7 noch gebraucht?
Soweit ich jetzt mitbekommen habe entw. ein Zertifikat, das für alle
Connectoren (accepted domains) SAN - Eintràge beinhaltet oder eben für
jede Domain ein eigenes Zertifkat, oder?

Danke für Eure Hilfe!!

Björn
 

Lesen sie die antworten

#1 Walter Steinsdorfer [MVP]
21/08/2007 - 16:48 | Warnen spam
Hallo Björn,

Aller 15 min erhalte ich in der Ereignisanzeige folgende Meldung:

Event Type: Error
Event Source: MSExchangeTransport
Event Category: TransportService
Event ID: 12013
Date: 8/21/2007
Time: 2:11:50 PM
User: N/A
Computer: MSX2007
Description:
Microsoft Exchange couldnΓÇÖt find a certificate with a thumbprint of
5EE9222CFAD777329B65338EDED18E4E9EB01C2E in the personal store on the
local computer. This certificate was configured for authentication
with other Exchange servers. Mail flow to other Exchange servers will
be affected by this error. If the certificate with this thumbprint
still exists in the personal store, run Enable-ExchangeCertificate
5EE9222CFAD777329B65338EDED18E4E9EB01C2E ΓÇôservices SMTP to resolve
the issue. If the certificate doesnΓÇÖt exist in the personal store,
restore it from backup by using the Import-ExchangeCertificate
cmdlet, or create a new certificate for the FQDN or the server
enabled for SMTP by using New- ExchangeCertificate ΓÇôdomainname
serverfqdn ΓÇôservices SMTP.



der Hub Transport wird nicht unter dem lokalen Computerkonto ausgeführt und
der Netzwerkdienst hat keinen Zugriff auf den Store vom Computerkonto.
Meistens ist das das Problem. Kannst du das bestàtigen?

Viele Grüße aus München
Walter Steinsdorfer, MVP Exchange Server
https://mvp.support.microsoft.com/d...5C7782F6AD
Windows 2003 die Expertentipps:
http://www.faq-o-matic.net/content/view/253/2/

Ähnliche fragen