Veröffentlicht 7. Juni 201114 j Hallo, wie kann einem Certificate einen Service wieder entfernen? Beispiel: mein internes Cerfiticate hat SMTP als Service aktiviert. Ich habe nun ein neues SAN-Cert und das soll IIS machen, könnte aber auch SMTP übernehmen, da es alle FQDNs beinhaltet. Das alte interne ist auch abgelaufen. Wenn ich dem neuen Certif den Service mitgebe, bekommt er den auch aber das alte behält ebenfalls ein "S" unter Services. Danke Lloyd
7. Juni 201114 j Autor Mit dem Befehler Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXX - Services None gehts nicht... bleiben weiterhin alle dienste stehen...
7. Juni 201114 j Hallo, mit genau diesem Shell-Script sollte es aber gehen. Fehlermeldung nach Script-Abschuss? Versuch mal nur Enable-ExchangeCertificate -Services None Ansonsten Hilfe einblenden mit get-help oder -examples
7. Juni 201114 j Wenn das alte Zertifikat abgelaufen ist und du das neue Zertifikat schon für die entsprechenden Services aktiviert hast, warum entfernst du dann nicht das alte Zertifikat einfach mittels "Remove-ExchangeCertificate"?
8. Juni 201114 j Autor Wenn das alte Zertifikat abgelaufen ist und du das neue Zertifikat schon für die entsprechenden Services aktiviert hast, warum entfernst du dann nicht das alte Zertifikat einfach mittels "Remove-ExchangeCertificate"? da läuft noch imap und pop drüber, was auf einem anderen zert nicht aktiviert ist. gibt das remove denn dann nicht irgendwelche probleme bzw. sollte ich dann nicht ein neue self-signed zert erstellen und importieren?
8. Juni 201114 j Ist echt bescheiden, dass es im Exchange 2007 noch keine GUI für die Zertifikatsverwaltung gibt. Brauchst du überhaupt ein Zert für POP und IMAP/Nutzt du diese Dienste mit Zertifikat? Versuche doch mal dem neuen Zert alle Dienste zuzuweisen. Eventlog des Servers irgendwelche Einträge? Ansonsten wie du gesagt hast, versuche ein neues Zert für diese Dienste zu erstellen. Ob das ein self-signed ist oder nicht, musst du entscheiden.
8. Juni 201114 j da läuft noch imap und pop drüber, was auf einem anderen zert nicht aktiviert ist. gibt das remove denn dann nicht irgendwelche probleme bzw. sollte ich dann nicht ein neue self-signed zert erstellen und importieren? Benutzt ihr den IMAP bzw. POP auf Zertifikatsbasis? Es müssten Zertifikatsfehler aufgefallen sein, weil das Zertifikat ausgelaufen ist. ;-) Wenn nicht, kannst du die Services einfach auf das neue Zertifikat umlegen und die Dienste in der entsprechenden MMC deaktivieren.
9. Juni 201114 j Autor also ich habe im eventlog hinweise, dass ein internes transportzertifikat ausgelaufen ist... aber der exchange arbeitet normal weiter. ich glaube der einzige dienst, wo ein zertifikat verwendet wird ist iis, wegen owa. dann könnte ich das interne, abgelaufe zerti ja deaktivieren... aber ich kann es nicht exportieren, bekomme immer eine fehlermeldung bei befehl es zu exportieren: Der Exportbefehl: Export-ExchangeCertifikate -Thumbprint xxxxxxxxxxxxxxxxxxx -BinaryEncoded:$true -Password (Get-Credential).password Dann werde ich nach Benutzername und PW gefragt und egal ob ich Domain-Admin, local Admin oder sonst einen User angebe, scheitert mit folgender Fehlermeldung: Der Zugriff auf den privaten Schlüssel ist nicht möglich, oder er kann nicht exportiert werden, weshalb das Zertifikat nicht als PKCS-12 exportiert werden kann.
9. Juni 201114 j warum exportieren? Du willst es doch deaktivieren. Ich glaube deine Eventlog meckert nur, weil das abgelaufene Zert auch für den SMTP Dienst aktiviert war.
10. Juni 201114 j Autor Ohne Zertifikat kein OWA.... ja, aber ansonsten benötigt der exchange kein zertifikat, oder?
11. Juni 201114 j Auch Outlook benötigt ein gültiges Zertifikat für Abwesenheitsassistent, Autodiscover etc. Ich verstehe dein Problem nicht, hau alle Zertifikate raus und erstelle ein neues. Weise diesem die Dienste zu, die du benötigst.
11. Juni 201114 j Autor erledigt! owa und der abwesenheitsassi laufen ueber das san zert und ich hab zusaetzlich ein neues internes erstellt... laeuft alles ohne fehler weiter...
12. Juni 201114 j Im IIS kann immer nur ein Cert zugewiesen sein (für Port 443 z. B.). Inwiefern laufen bei dir jetzt zwei Certs? Das SAN allein sollte reichen, sofern es alle nötigen Einträge enthält.
14. Juni 201114 j Autor also das owa läuft mit cert, das ist auf dem san-cert aktiviert, inkl. pop & imap. mit dem alten, welches mit smtp aktiviert war, habe ich folgendes gemacht: Get-ExchangeCertificate -Thumbprint xxxx | New-ExchangeCertificate dann wurde ein neues erstellt, welche 12 monate gültig ist und wo smtp aktiviert ist. das alte habe ich dann removed... fehlermeldungen sind nun weg...
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.