Exchange Server 2013 - InstantSSL Zertifikat - Unterstützung benötigt

[DanTheManX2]

Hallo liebe Community,

wie der Titel schön verrät brauche ich eure Hilfe.
Dazu sei gesagt, dass ich mich noch nicht lange mit dem Exchange Server arbeite ich aber stetig weiter dazu lerne

Anfangs hatte ich mir ein selbst erstelltes Zertifikat und einer Zertifizierungsstelle installiert. Dies hat ohne große Probleme funktioniert.

Da ich aber die Zertifikatswarnungen nicht möchte bin ich beim durchstöbern auf den Anbieter InstantSSL gestoßen. Dort habe ich die CSR eingefügt und mithilfe der Bestätigungs E-Mail an meine Domain verifiziert.

Nun habe ich eine E-Mail bekommen, wo das Zertifikat sich im Anhang befinden soll.



Was mich nun aber wundert ist, dass im Anhang der E-Mail eine Zip File mit mehreren Dateien vorhanden ist. Die benötigte Datei ist aber von letzter Nacht und nicht erst von heute morgen wo ich die E-Mail Adresse validiert habe.




Auf dem Verzeichnis sind lese und Schreibrechte für jeden erteilt also wieso Zugriffsfehler?

Was mache ich falsch? Bzw. wie wäre das weitere vorgehen? Ich kann leider mit den anderen Zertifikaten nichts anfangen. Vielleicht könnt ihr mir helfen da ich glaube nur noch wenige Klicks von einer Vertrauenswürdige Seite entfernt zu sein. Vielen Dank im Vorraus.


LG Dan

 

[rennstrecke]

Wenn die NTFS-Rechte korrekt sind, gebe doch mal den Ordner extra frei indem die Dateien liegen und vergebe entsprechende Freigaberechte.

Dann entsprechend mit \\Win2012r2-ex01\Freigabename\Dateiname.cer

Hast du die Root und Intermediate Zertifikate auf dem Server entsprechend importiert?

 

[DanTheManX2]

nein ich habe die Root und die Intermediate Zertifikate nicht importiert. Wie mache ich das? Auf dem DC wo sich der IIS befindet? Hab ich noch nicht gemacht. Das mit dem selbst erstellten war einfacher :-D

Auf dem Verzeichnis sind die Freigaben aktiv. Mich wundert es, dass das Zertifikat im Anhang von gestern und nicht heute Morgen war. In der E-Mail steht auch noch die CSA mache ich damit noch was ?

Danke für die Hilfe bisher +1

 

[Evil E-Lex]

Kopier dir die Datei lokal auf den Server. UNC-Pfade machen manchmal Ärger. Die Uhrzeit stimmt wohl, Comodo befindet sich in den USA, die sind entsprechend mehrere Stunden hinter unserer Zeit.
Die Zwischenzertifikate installierst du auf dem Exchange über das mmc Snap-In Zertifikate. Dann lokales Computerkonto auswählen un die Zertifikate in die entsprechenden Ordner importieren.

 

[rennstrecke]

nein ich habe die Root und die Intermediate Zertifikate nicht importiert. Wie mache ich das? Auf dem DC wo sich der IIS befindet? Hab ich noch nicht gemacht. Das mit dem selbst erstellten war einfacher :-D

Auf dem Verzeichnis sind die Freigaben aktiv. Mich wundert es, dass das Zertifikat im Anhang von gestern und nicht heute Morgen war. In der E-Mail steht auch noch die CSA mache ich damit noch was ?

Danke für die Hilfe bisher +1

Die drei Zertifikate die auch in deinem Screenshot zusehen sind und auch in der E-Mail beschrieben sind, müssen auf dem Exchange Server importiert werden (hier sollte ebenfalls ein IIS laufen). Ich vermute dass in der Mail unter "click here for instructions" steht, was zu tun ist.
Ansonsten sollte ein Doppelklick auf die oberen Dateien auf deinem Screenshot auf dem EXC-Server ausreichen zum importieren.

Kopier dir die Datei lokal auf den Server. UNC-Pfade machen manchmal Ärger.

Exchange2013 erwartet hier einen UNC-Pfad, lokale Pfade funktionieren nicht!

 

[DanTheManX2]

die Datei befindet sich lokal auf dem Exchange Server in dem Verzeichnis: Win2012r2-ex01/c$/Installation/

Beim Exchange ECP kann ich nur UNC-Pfade nehmen -.-

 

[DanTheManX2]

Die drei Zertifikate die auch in deinem Screenshot zusehen sind und auch in der E-Mail beschrieben sind, müssen auf dem Exchange Server importiert werden (hier sollte ebenfalls ein IIS laufen). Ich vermute dass in der Mail unter "click here for instructions" steht, was zu tun ist.
Ansonsten sollte ein Doppelklick auf die oberen Dateien auf deinem Screenshot auf dem EXC-Server ausreichen zum importieren.

Das bedeutet, dass ich nichts weiteres zu tun hab außer doppelt auf die Zertifikate zu klicken?

Was mache ich mit dem UNC Pfad im Exchange wo dort der Status noch auf ausstehend steht ?

 

[Evil E-Lex]

Versuchs mal mit PowerShell:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path "C:\PfadzumCert\DeinServerCert.crt" -Encoding byte -ReadCount 0))

 

[rennstrecke]

Das bedeutet, dass ich nichts weiteres zu tun hab außer doppelt auf die Zertifikate zu klicken?

Was mache ich mit dem UNC Pfad im Exchange wo dort der Status noch auf ausstehend steht ?

Entweder per Doppelklick, oder per mmc ins Computerkonto in die entsprechende Kategorie importieren, wie von Evel E-Lex vorgeschlagen.

Im Exchange deinen CSR musst du auf jeden Fall dort auch "beantworten", mit deiner Zertifikatsdatei dafür. Geht nur über das WebInterface oder die Exchange-Powershell. Gebe doch mal das Verzeichnis "Installation" extra Frei, und vergebe Freigabeberechtigung für einen User der im AD Exchange-Origanisations-Admin ist. und dann Nutzt du \\Win2012r2-ex01\Installation\Dateiname.cer ...

Absolute Freigaben wie C$ funktionieren nicht immer zuverlässig.

 

[DanTheManX2]

Guten Morgen zusammen,

ich wollte mich nochmals für eure gestrige Hilfe bedanken. Leider konnte ich es gestern nicht mehr probieren.
Nun habe ich die ganzen Zertifikate auf dem EX (Lokaler Computer) installiert.

Leider erhalte ich weiterhin die Fehlermeldung. Ich hab das alte Zertifikat entfernt und die Dienste zugewiesen aber irgendwas scheint nicht zu stimmen. Dazu habe ich ein paar Screenshots angefertigt.







Was kann ich noch tun? So schwer sollte das mit dem Zertifikat wohl nicht sein

Gruß Dan

 

[Evil E-Lex]

Du musst die selbstausgestellten Zertifikate löschen, sonst wird das nichts. Es wird weiterhin dein selbstausgestelltes Zertifikat verwendet.

Falls du danach noch mit COMODO-Zertifikat Probleme hast, hast du die Root- und Intermediate-Zertifkate nicht installiert. Das passiert nicht automatisch. In Kurzform:
1. mmc öffnen.
2. Zertifikate Swap-In für das Lokale Computerkonto laden.
3. AddTrustExternalCARoot.crt in den Speicher "Vertrauenswürdige Stammzertifizierungsstellen" importieren
4. COMODORSAAddTrustCA.crt und COMODORSADomainValidationSecureServerCA.crt in den Speicher "Vertrauenswürdige Zwischenzertifizierungsstellen" importieren.
5. Alternativ in der E-Mail den Link "click here for instructions" anklicken.

 

[DanTheManX2]

Du hast die Root- und Intermediate-Zertifkate nicht installiert. Das passiert nicht automatisch. In Kurzform:
1. mmc öffnen.
2. Zertifikate Swap-In für das Lokale Computerkonto laden.
3. AddTrustExternalCARoot.crt in den Speicher "Vertrauenswürdige Stammzertifizierungsstellen" importieren
4. COMODORSAAddTrustCA.crt und COMODORSADomainValidationSecureServerCA.crt in den Speicher "Vertrauenswürdige Zwischenzertifizierungsstellen" importieren.
5. Alternativ in der E-Mail den Link "click here for instructions" anklicken.

Edit: Ups, ich seh grad, dass du ein völlig falsches Zertifikat installiert hast. Dein Zertifikat kommt nicht von COMODO, sondern von deiner internen CA. Wobei da auch der Pfad nicht stimmt. Wie hast du das Zertifikat von COMODO angefordert?

Ich bin beim Exchange bei Server / Zertifikate auf das "+" ( Neu ) gegangen danach die Anforderung eines Zertifikates von einer Zertifizierungsstelle erstellen. Alles soweit aufgefüllt und im Anschluss hab ich die CSA hier eingegeben und angefordert.

https://www.instantssl.com/free-ssl...5sk1=58f830d2971ba2c548e321e83b64e68f5cd15aad
Bin hier auf "Try free SSL" gegangen und hab dort die weiteren Schritte befolgt.

Das alte Zertifikat hab ich beim ECP entfernt. Auf dem Screenshot sind nur noch die Standardzertifikate zu sehen.

Was kann ich tun? Soll ich die interne Zertifizierungsstelle auf dem DC entfernen? Oder soll ich sonst irgendwas machen?

Nachtrag: Ich habe jetzt auf dem DC die Active-Directory Zertifizierungsstelle deaktiviert und neu gestartet. Ich hoffe das hilft weiter.

Liegt der Fehler vielleicht daran, dass ich das Zertifikat für "mai.xxx-it.de" angefordert habe und die OWA Adresse https://xxx-it.de/owa lautet ?


Danke für eure Hilfe

 

[Evil E-Lex]

Nachtrag: Ich habe jetzt auf dem DC die Active-Directory Zertifizierungsstelle deaktiviert und neu gestartet. Ich hoffe das hilft weiter.

Nein, damit hat das nichts zu tun. Ich habe meinen vorherigen Beitrag entsprechend editiert. In deinem ersten Screenshot sieht man ja das korrekte Zertifikat von Comodo. Dein IIS nutzt aber ein anderes.

Liegt der Fehler vielleicht daran, dass ich das Zertifikat für "mai.xxx-it.de" angefordert habe und die OWA Adresse https://xxx-it.de/owa lautet ?

Der Name im Zertifikat muss dem Domainnamen exakt entsprechen. Allerdings würde die Fehlermeldung dann anders aussehen. Hast du mal die IIS-Dienste neu gestartet? Und schau auch mal in die IIS-Konfiguration welches Zertifikat dort eingetragen ist.

 

[DanTheManX2]

Nein, damit hat das nichts zu tun. Ich habe meinen vorherigen Beitrag entsprechend editiert. In deinem ersten Screenshot sieht man ja das korrekte Zertifikat von Comodo. Dein IIS nutzt aber ein anderes.


Der Name im Zertifikat muss dem Domainnamen exakt entsprechen. Allerdings würde die Fehlermeldung dann anders aussehen. Hast du mal die IIS-Dienste neu gestartet? Und schau auch mal in die IIS-Konfiguration welches Zertifikat dort eingetragen ist.

Ja den IIS habe ich bereits neu gestartet. Dies brachte leider keinen Erfolg. Ich glaub ich werde nachher bis zum Start des Super Bowl mich nochmals mit der Materie beschäftigen und mal den IIS genauer unter die Lupe nehmen.

Ich könnte auch nochmal die Zertifizierungsstelle neu installieren wobei ich glaub das es nichts bringen würde. Hatte als ich ihn von ein paar Wochen installiert habe die Verschlüsselung und SHA1 gesetzt was sich später als falsch heraus stellte.

So oder so werde ich noch was probieren und berichten.

Vielen Dank nochmal an dieser Stelle Evil E-Lex sowie die anderen, dass ihr mich nicht im Regen stehen lässt und versucht mir bestmöglich zu helfen

Ergänzung (8. Februar 2016)

Hallo zusammen,

leider bin ich nicht weiter gekommen. Auf dem IIS habe ich nachgeschaut und konnte keinen Fehler feststellen. Auch ein Neustart brachte keinen Erfolg.

Hier scheint auch das richtige Zertifikat hinterlegt zu sein.



Was soll ich machen? Bzw. nachsehen?


Danke LG Dan

 

[Evil E-Lex]

Hier scheint auch das richtige Zertifikat hinterlegt zu sein.

Das sind die auf dem Server installierten Zertifikate, das passt schon so.
Ich hab grade keinen aktuellen IIS zur Hand daher der Weg aus dem Kopf. Schau mal in der IIS-Verwaltung nach:
1. Sites öffnen
2. Default Web Site anklicken
3. Rechts im Menü unterhalb von "Site bearbeiten" "Bindungen" anklicken
4. Im nächsten Fenster https anklicken, dann den Button "bearbeiten".
5. Dann im Drop-Down-Menü SSL-Zertifikat dein Zertifikat "InstantSSL" auswählen.

 

[DanTheManX2]

Das sind die auf dem Server installierten Zertifikate, das passt schon so.
Ich hab grade keinen aktuellen IIS zur Hand daher der Weg aus dem Kopf. Schau mal in der IIS-Verwaltung nach:
1. Sites öffnen
2. Default Web Site anklicken
3. Rechts im Menü unterhalb von "Site bearbeiten" "Bindungen" anklicken
4. Im nächsten Fenster https anklicken, dann den Button "bearbeiten".
5. Dann im Drop-Down-Menü SSL-Zertifikat dein Zertifikat "InstantSSL" auswählen.

Bin genau deinem Weg befolgt. Und InstantSSL war beits im drop down Menü hinterlegt. Ich habe ein anderes mal ausgewählt und aktiviert danach wieder InstantSSL ausgewählt und eingestellt. -.- also hier auhc nichts zu finden.

 

[Evil E-Lex]

Dein Zertifikat passt und wird auch entsprechend angezeigt, habs eben getest. Wenn du jetzt noch die externe URL auf mail.example.com statt auf example.com konfigurierst, dann wird auch die Fehlermeldung verschwinden.

 

[DanTheManX2]

haha hatte mir schon überlegt dir die Domain per pn zukommen zu lassen damit du dir das besser hättest ansehen können 😏 aber du warst schneller.

Soll ich nicht lieber example.com lassen und das Zertifikat auf diese Domain zuschneiden oder würdest du mail.example.com präferieren?

In Zukunft soll auf example.com zwar noch meine Homepage laufen aber ich gebe in den Browser ja /owa ein ist ja eigentlich schon eine andere Endung oder ist das ein Denkfehler von mir ? oO

Zu guter letzt noch schnell die Frage wie ich die URL am besten ändern kann. Damit die Seite ab gleich grün ist 😬😍

 

[Evil E-Lex]

Ich würde mail.example.com vorziehen. Die Domain musst du bei deinem Webhoster entweder als Subdomain (mit geänderter IP-Adresse) oder direkt als A-Record im DNS eintragen. Das Vorgehen ist je nach Webhoster unterschiedlich. Die IP-Adresse für deinen A-Record bzw. Subdomain entspricht deiner externen IP.

 

[DanTheManX2]

Habe gerade mal nachgesehen und leider festgestellt, dass ich keine Subdomains erstellen kann. Ich müsste ein zusätzliches Paket dafür hinzubuchen.

Deshalb verwerfe ich die Idee mit dem mail.example.com erstmal.
Würde dann example.com für die Homepage verwenden wollen und example.com/owa für exchange. Das sollte doch klappen.

Wie muss ich jetzt bei InstantSSL vorgehen um das Zertifikat zu ändern? Eigentlich ein neues anfordern und wie beschrieben wieder einbinden. Richtig ?