Computer Hardware Forum - TweakPC

Computer Hardware Forum - TweakPC (https://www.tweakpc.de/forum/)
-   Windows & Programme (https://www.tweakpc.de/forum/windows-and-programme/)
-   -   Exchange Zertifikat abgelaufen oder doch nicht?! (https://www.tweakpc.de/forum/windows-and-programme/114319-exchange-zertifikat-abgelaufen-oder-doch-nicht.html)

Morphois 29.04.2020 12:57

Exchange Zertifikat abgelaufen oder doch nicht?!
 
Hallöle Leuts.

Ich hab ein etwas seltsames Problem und hoffe mir kann jemand weiterhelfen.
Ich hab mir schon die Finger wundgegoogelt und die Augen fusselig gelesen aber ich finde keine Lösung.
(Vielleicht suche ich falsch :confused:)

Wir haben einen Exchange im Einsatz mit einem selbstausgestellten Zertifikat. Der Exchange muss nur von intern erreichbar sein.
Seit 4 Tagen bekommen die Kollegen die Meldung dass das Zertifikat abgelaufen oder noch nicht gültig ist.
Wenn ich dann auf "Zertifikat anzeigen" gehe, bekomme ich angezeigt, dass das Zertifikat angeblich von 25.04.2018 bis 25.04.2020 gültig ist.
Somit hat Outlook recht. Das Zertifikat ist abgelaufen.

Wenn ich aber auf dem Exchange nachschaue, bekomme ich in der EMS mit "get-exchangecertificate" angezeigt das das Zertifikat bis 04.10.2020 gültig ist.

Die Namen im Zertifikat stimmen auch überein.

Im IIS ist das richtige Zertifikat ausgewählt (Da hat auch keiner was gemacht)

So langsam bin ich mit meinem Latein am Ende.

Vielleicht weiß ja einer von euch woran das liegen könnte.

swatcher1 29.04.2020 13:43

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
Was Zertifikate angeht bin ich leider nicht tief genug im Thema. :-( Aber ein Brainstorming schadet ja sicher nichts.

Kann es vielleicht sein, dass das abgelaufene Zertifikat [per GPO] an die Clients ausgerollt wurde, das nachträglich / zusätzlich ausgestellte mit Ablaufdatum 10/2020 jedoch nicht?

Morphois 29.04.2020 14:14

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
[QUOTE=swatcher1;873292]Was Zertifikate angeht bin ich leider nicht tief genug im Thema. :-( Aber ein Brainstorming schadet ja sicher nichts.

Kann es vielleicht sein, dass das abgelaufene Zertifikat [per GPO] an die Clients ausgerollt wurde, das nachträglich / zusätzlich ausgestellte mit Ablaufdatum 10/2020 jedoch nicht?[/QUOTE]

Hm. Das könnte ich mal nachschauen.
Schon mal danke für den Tipp.

Tweak-IT 29.04.2020 14:54

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
Also in den offiziellen Dokumenten steht wie es gemacht wird aber kein Wort wie man das Zertifikat auf die Clients bekommt.

[URL]https://docs.microsoft.com/en-us/exchange/architecture/client-access/renew-certificates?view=exchserver-2019[/URL]

Killerpixel 29.04.2020 18:49

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
Das Zertifikat kommt, wie der swatcher das schon richtig tippt, per GPO auf die Clients. Hab zwar länger keinen Exchange mit self-signed Zertifikaten in der Hand gehabt, aber das ist "best practice".

Natürlich auch möglich dass da mal irgendwann einer den roflcopter ausgepackt und die Dinger von Hand verteilt hat...aber GPO ist der richtige Ansatz. Einfach per Richtlinie das aktuelle Zert (eventuell gleich n Neues erstellen, wenne einmal drüber bist?) in den vertrauswürdigen Speicher auf den Clients und presto, Fehler weg.

Joshua 29.04.2020 22:36

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
N'Abend.

Habt ihr ne interne CA?
Dann muss da nix per GPO ausgerollt werden, außer dem Stammzertifikat der Domain.

Wenn ihr keine interne CA habt, greift das, was meine Vorredner schon geschrieben haben: Korrektes Zertifikat per GPO verteilen.

"Best Practice" ist beides aber mitnichten. Best Practice ist es, ein offizielles Zertifikat zu benutzen, dann steht man niemals vor dem geschilderten Problem. Seid einiger Zeit geht das sogar kostenlos mit nem Let's Encrypt Zertifikat, das wird mittlerweile von allen aktuellen Browsern und Mailclients akzeptiert.

Cheers,
Joshua

Profi Overclocker 29.04.2020 23:04

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
[QUOTE=Joshua;873323]N'Abend.

Habt ihr ne interne CA?
Dann muss da nix per GPO ausgerollt werden, außer dem Stammzertifikat der Domain.

Wenn ihr keine interne CA habt, greift das, was meine Vorredner schon geschrieben haben: Korrektes Zertifikat per GPO verteilen.

"Best Practice" ist beides aber mitnichten. Best Practice ist es, ein offizielles Zertifikat zu benutzen, dann steht man niemals vor dem geschilderten Problem. Seid einiger Zeit geht das sogar kostenlos mit nem Let's Encrypt Zertifikat, das wird mittlerweile von allen aktuellen Browsern und Mailclients akzeptiert.

Cheers,
Joshua[/QUOTE]


+1


Geht mit Letsencrypt auch vollautomatisiert.
[url]https://www.frankysweb.de/exchange-2016-zertifikatsassistent-fuer-lets-encrypt/[/url]

Morphois 30.04.2020 08:21

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
[QUOTE=Killerpixel;873310]Natürlich auch möglich dass da mal irgendwann einer den roflcopter ausgepackt und die Dinger von Hand verteilt hat...aber GPO ist der richtige Ansatz. [/QUOTE]

Der Roflcopter ist leider ziemlich weit weggezogen sonst hätte ich den schon mehrmals an den Ohren herbeigezogen und ihn mit allen mir zu Verfügung stehenden Mitteln gezwungen seinen Bull-Shit zu korrigieren, den er hier verbrochen hat.

Es wird tatsächlich ein Zertifikat per GPO ausgerollt. Allerdings bringt das ein weiteres Ablaufdatum ins Spiel. Und, das ist nicht das Zertifikat für den Exchange (exchange.unsere-domain.de/local) sondern nur für den Server.
(S02 / S02.unsere-domain.local)

[QUOTE=Joshua;873323]Habt ihr ne interne CA?
Dann muss da nix per GPO ausgerollt werden, außer dem Stammzertifikat der Domain.[/QUOTE]

Leider nicht.

Edit: Doch. Wir haben eine CA. (Ich könnte ihn würgen.)
Also ich hab mir jetzt mal die Zertifikate im MMC-SnapIn anzeigen lassen und komischerweise wird bei den Computerkonto-Zertifikaten das richtige gezogen, doch bei den Benutzerkonto-Zertifikaten weiterhin das abgelaufene.

Edit2: oh man... Ich könnte ihn ERwürgen...
Es werden insgesamt 11 Zertifikate in unterschiedlichen GPOs ausgerollt.
Am Besten ich fang nochmal von 0 an.
Schick alle in den Lockdown und bereite das die nächsten Wochen vor...

Killerpixel 30.04.2020 16:19

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
Klingt ganz danach, als hätte da jemand wild sämtliche how-tos, die er gefunden hat, einfach mal befolgt. :D

Ganz von Null musst du da nicht. Einfach die Zertifikate frisch machen. Wenn du dich an die "unbekannte" CA nicht rantraust, dann mach für den Exchange ein separates per Let's Encrypt (oder wenns Ghetto bleiben soll, ein self-signed...) und roll das per GPO aus, das sollte deine Probleme beheben.

@Joshua: Daher auch die Anführungszeichen um das "best practice". Ich hatte ewig keinen mehr ohne gekauftes Zertifikat in den Griffeln, aber die hier geschilderte "Lösung" trägt nen starken Hauch von SBS 08/11....und da war das idR mit den Zertifikaten so, das war von Haus aus ne ziemliche Katastrophenlösung.

Joshua 30.04.2020 23:49

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
N'Abend.
[QUOTE=Morphois;873327][...]Ich könnte ihn ERwürgen...[...][/QUOTE]
Nicht doch - geht zu schnell. Das hier ist besser:
[url]https://www.getdigital.de/LART-Netzwerkpeitsche-CAT5-o-Nine-Tails.html[/url]

Back2topic:
Ist das Stammzertifikat eurer Domain noch gültig? Wenn ja, einfach ein neues Zertifikat für den Exchange von ihr ausstellen lassen und im Exchange einbinden (IIS nicht vergessen). Wenn das Stammzertifikat abgelaufen ist, wird's eh blöd, nicht nur mit dem Exchange. Da würd' ich dann zu intensiver Lektüre oder einem Dienstleister raten, der das vor Ort binnen kürzester Zeit wieder grad gebogen bekommt.

Ich lege noch mal zwei Links nach, einfach nur auf die Hauptseite(n) - dort finden sich nicht nur viele sondern vor allem sehr gute Artikel:
[url]https://www.msxfaq.de[/url]
[url]https://www.frankysweb.de[/url]

Cheers,
Joshua

P.S.:
Ich möchte nur klarstellen, dass der Hinweis auf einen Dienstleister hier nicht despektierlich gemeint ist. Es gibt aber Situationen, in denen "einmal mit Profis arbeiten" tatsächlich der beste Rat ist...[COLOR="Silver"]

[SIZE=1]---------- Post hinzugefügt 23:49 ---------- Vorheriger Post von at 23:46 ----------[/SIZE]

[/COLOR]N'Abend.
[QUOTE=Killerpixel;873337][...]@Joshua: Daher auch die Anführungszeichen um das "best practice". Ich hatte ewig keinen mehr ohne gekauftes Zertifikat in den Griffeln, aber die hier geschilderte "Lösung" trägt nen starken Hauch von SBS 08/11....und da war das idR mit den Zertifikaten so, das war von Haus aus ne ziemliche Katastrophenlösung.[/QUOTE]
Naja, auch zu SBS-Zeiten waren interne Zertifikate eher die Computerbild- und Bastellösung. Auch der Exchange auf dem SBS hat mit öffentlichen Zertifikaten deutlich besser funktioniert. ;-)

Ich hatte (und habe noch) die Ehre, ne ganze Reihe von den Dingern durch etwas "vernünftiges" zu ersetzen. Meine Begeisterung könnte nicht größer sein... :-\

Cheers,
Joshua

Killerpixel 30.04.2020 23:55

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
[QUOTE=Joshua;873346]Naja, auch zu SBS-Zeiten waren interne Zertifikate eher die Computerbild- und Bastellösung. Auch der Exchange auf dem SBS hat mit öffentlichen Zertifikaten deutlich besser funktioniert. ;-)

Ich hatte (und habe noch) die Ehre, ne ganze Reihe von den Dingern durch etwas "vernünftiges" zu ersetzen. Meine Begeisterung könnte nicht größer sein... :-\[/QUOTE]

Habe nichts anderes behauptet. :D

Habe in den letzten zwei Jahren leider auch einige von den Dingern "zwangsmigrieren" müssen. Hab nicht einen einzigen mit nem öffentlichen Zertifikat vorgefunden. Die waren alle mehr oder weniger so, wie sie aus dem SBS-Konfigurator rausgefallen sind.


@Morphois: Was ist das für eine Exchange-Version? Und auf welchem Windows läuft die? Wenn da grad was "nicht funktioniert" wäre das ne gute Gelegenheit, nach einer Freigabe für ein Upgrade zu angeln, sofern das nicht schon was halbwegs aktuelles ist. ;)

Morphois 04.05.2020 08:28

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
[QUOTE=Joshua;873346]N'Abend.

Nicht doch - geht zu schnell. Das hier ist besser:
[url]https://www.getdigital.de/LART-Netzwerkpeitsche-CAT5-o-Nine-Tails.html[/url][/QUOTE]

Nee schön langsam. Immer wieder Luft holen lassen zwischendurch. :evil:

[QUOTE=Joshua;873346]
Back2topic:
Ist das Stammzertifikat eurer Domain noch gültig? Wenn ja, einfach ein neues Zertifikat für den Exchange von ihr ausstellen lassen und im Exchange einbinden (IIS nicht vergessen). Wenn das Stammzertifikat abgelaufen ist, wird's eh blöd, nicht nur mit dem Exchange. Da würd' ich dann zu intensiver Lektüre oder einem Dienstleister raten, der das vor Ort binnen kürzester Zeit wieder grad gebogen bekommt.[/QUOTE]

Stammzertifikat ist noch gültig.
Hab mich grad mit meinem Kollegen beraten. Wir werden jetzt einen Dienstleister einschalten. Für diese Kinder***** haben wir im normalen Betrieb keine Zeit. Sind eh chronisch unterbesetzt.

[QUOTE=Killerpixel;873348]@Morphois: Was ist das für eine Exchange-Version? Und auf welchem Windows läuft die? Wenn da grad was "nicht funktioniert" wäre das ne gute Gelegenheit, nach einer Freigabe für ein Upgrade zu angeln, sofern das nicht schon was halbwegs aktuelles ist.
[/QUOTE]

Ist ein Exchange 2013 auf einem 2012 R2.
Upgrade wird höchst wahrscheinlich nichts werden. Wir werden vermutlich demnächst in Kurzarbeit gehen müssen, "dank" der aktuellen Situation. Da brauch ich unsere Chefin nicht nach mehrstelligen Beträgen für neue Software und/oder (um Gottes Willen, ich trau mich was) Hardware zu fragen.

Joshua 04.05.2020 22:28

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
N'Abend.
[QUOTE=Morphois;873408][...]Stammzertifikat ist noch gültig.[...][/quote]
Dann könnte das in Minuten erledigt sein - also, wenn ihr eure interne CA bedienen könnt/diese erreichbar ist und funktioniert:
[url]https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca/[/url]

[quote][...]Wir werden jetzt einen Dienstleister einschalten.[...][/quote]
In Anbetracht leerer Kassen auch ein Schritt, den man vor seinem Chef erstmal rechtfertigen und von ihm genehmigt bekommen muss.

In any case - ich wünsch' euch viel Erfolg.

Cheers
Joshua

Morphois 12.05.2020 09:19

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
So.
Mal ein kurzes Update.
Gefühlt sind da jetzt schon 1000h Arbeit reingeflossen.
Ich frag mich ernsthaft was mein Vorgänger hier gemacht hat.
Ich glaube wirklich der hat gewürfelt, welche Funktion er auf welchen Server verteilt.
Nachdem wir es nicht hinbekommen haben, haben wir einen Dienstleister eingeschaltet.
Der kannste wohl auch meinen Vorgänger und hat während des Telefonats mehrfach vor sich hingemurmelt... "Was hat der denn da für einen ****** gemacht."
Nun haben wir ein neues Zertifikat.
Allerdings funktioniert das immer noch nicht, da nun scheinbar unsere Firewall/Proxy sich quer stellt.

Wenn ich in den Internetoptionen den Proxy eingetragen habe und unter [Erweitert] noch *.unsere-domain.de eintrage, dann wird das richtige Zertifikat gezogen. Sobald ich das wieder rausnehme, ZACK, Meldung das das Zertifikat abgelaufen ist.
Wir haben das Zertifikat auch schon auf unseren Terminalservern installiert.
Das wird einfach weg ignoriert.

Ich hab auch schon auf der Firewall versucht die URL freizugeben.
Diverse Ansätze probiert...
Keine Chance.

Jetzt wird der nächste Dienstleister beauftragt.
Kostet ja nur 140€/h + Steuer...

Joshua 13.05.2020 19:58

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
N'Abend
[QUOTE=Morphois;873631]So. Mal ein kurzes Update.[...][/quote]
Wow... Liest sich wie ein schlechter Krimi - halte die Daumen, dass ihr das hinbekommt.

Cheers,
Joshua

P.S.:
[quote][...]Jetzt wird der nächste Dienstleister beauftragt.
Kostet ja nur 140€/h + Steuer...[/QUOTE]
Wir nehmen weniger. ;-)

Morphois 20.05.2020 10:33

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
So.Was lange währt wird endlich gut.
Wir haben es geschafft (mit externer Unterstützung)

Nachdem bei uns auf den Rechner die Firewall (Sophos UTM9) als Proxy eingetragen ist, deswegen auch auf den lokalen Rechner das Zertifikat exchange.unsere-domain.de, gehen die Rechner den Weg durchs Netzwerk, Über die Firewall/Proxy, sind somit eigentlich "außerhalb" des Netzwerkes und greifen dann wieder auf den internen Exchange zu.

Obwohl in dem Zertifikat auch exchange.unsere-domäne.local drin steht UND S02.unsere-domäne.local (S02 = Exchange) UND auch in den Netzwerkeinstellungen eingetragen ist, das der Proxy für lokale Adressen umgangen werden soll, hat das alles nicht funktioniert.

Nach langem Suchen haben wir dann entdeckt, das in der Firewall das Zertifikat für Zugriffe von extern auch nochmal eingetragen war.
Zertifikat ausgetauscht und alles gut...

:denker:

Profi Overclocker 20.05.2020 10:44

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
io, ja mit nem Proxy wird das schnell lustig :iosys:

Mit der UTM 9 habt ihr aber auch die Möglichkeit die WAF zu verwenden und - je nachdem wie aktuell eure Firmware ist - automatisch Let's Encrypt Zertifikate zu verwenden (Erstellung und Renewal macht die Sophos).

Bei vollständiger Konfiguration kommunizieren die Clients dann mit der WAF (UTM9) und die WAF mit dem Exchange. Dazu gibt's auf Frankysweb auch einen Guide ;-)
Du hast dann das Letsencrypt Cert mit Autorenewal auf der Sophos und brauchst am Exchange keins mehr zu verlängern - da kann das Zert dann getrost auslaufen.

Und ich denke mal die Sophos ist bei euch eh der zentrale dreh und Angelpunkt? :iosys:

Joshua 20.05.2020 17:51

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
Servus
[QUOTE=Profi Overclocker;873817][...]Du hast dann das Letsencrypt Cert mit Autorenewal auf der Sophos und brauchst am Exchange keins mehr zu verlängern - da kann das Zert dann getrost auslaufen.[...][/QUOTE]
Da bin ich anderer Meinung - ein abgelaufenes Zertifikat auf dem Exchange verhindert zuverlässig die verschlüsselte Kommunikation, egal ob da ne Sophos vorne dran steht oder nicht. Der IIS auf dem Exchange wird dir bei jedem Aufruf -ob der nun direkt von nem Client oder von der Sophos kommt- ne Fehlermeldung rauskotzen.

Cheers,
Joshua

Profi Overclocker 21.05.2020 18:33

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
Das mit der Fehlermeldung stimmt. Aber die Kommunikation findet auch trotz abgelaufenen Zertifikat verschlüsselt statt.

Mit nem Client würdest du dann eine Zertifikatswarnung erhalten - mit der WAF wird das aber, wenn gewollt, ignoriert.

Aber ja, schöner ist's wenn beides aktuell ist.

Joshua 22.05.2020 08:08

AW: Exchange Zertifikat abgelaufen oder doch nicht?!
 
Moin.
[QUOTE=Profi Overclocker;873849][...]Mit nem Client würdest du dann eine Zertifikatswarnung erhalten - mit der WAF wird das aber, wenn gewollt, ignoriert.[...][/QUOTE]
Interessant, danke für den Hinweis, das muss ich mal nachstellen und testen.

Cheers,
Joshua


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:51 Uhr.

Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.