12
SBS2011: self-signed Zertifikat falsch erstellt
Hallo Admins,
ich habe dummerweise die Standard-Antwort aus dem Internet gewählt, um das self-signed Exchange Zertifikat zu erneuern:
Get-ExchangeCertificate <thumbprint> | New-ExchangeCertificate | Enable-ExchangeCertificate -services pop,imap,smtp,iis
Nur um dann festzustellen, dass diese Antwort totaler Murks ist. Das Zertifikat wird so direkt von Exchange ausgestellt und hat als Aussteller nicht die SBS-CA
Seither meckert Outlook und mit Firefox lässt sich die SBS-Site überhaupt nicht mehr öffnen (CN=CA wird in Firefox immer pauschal abgelehnt).
Ein Request aus Exchange auf Basis des abgelaufenen Zertifikats wird von der SBS-CA abgelehnt
Die Anforderung enthält keine Zertifikatvorlageninformationen.
0x80094801 (-2146875391)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung
enthält weder die Erweiterung für die Zertifikatvorlage, noch das
Anforderungsattribut 'CertificateTemplate*.
Wie komme ich an ein SBS-CA signiertes Exchange-Zertifikat?
(ich kann gar nicht glauben, dass ich heute offensichtlich zu blöd zum Suchen bin - Google ist mal so gar nicht mein Freund)
Viele Grüße, Thomas
ich habe dummerweise die Standard-Antwort aus dem Internet gewählt, um das self-signed Exchange Zertifikat zu erneuern:
Get-ExchangeCertificate <thumbprint> | New-ExchangeCertificate | Enable-ExchangeCertificate -services pop,imap,smtp,iis
Nur um dann festzustellen, dass diese Antwort totaler Murks ist. Das Zertifikat wird so direkt von Exchange ausgestellt und hat als Aussteller nicht die SBS-CA
Seither meckert Outlook und mit Firefox lässt sich die SBS-Site überhaupt nicht mehr öffnen (CN=CA wird in Firefox immer pauschal abgelehnt).
Ein Request aus Exchange auf Basis des abgelaufenen Zertifikats wird von der SBS-CA abgelehnt
Die Anforderung enthält keine Zertifikatvorlageninformationen.
0x80094801 (-2146875391)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung
enthält weder die Erweiterung für die Zertifikatvorlage, noch das
Anforderungsattribut 'CertificateTemplate*.
Wie komme ich an ein SBS-CA signiertes Exchange-Zertifikat?
(ich kann gar nicht glauben, dass ich heute offensichtlich zu blöd zum Suchen bin - Google ist mal so gar nicht mein Freund)
Viele Grüße, Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666596
Url: https://administrator.de/contentid/666596
Printed on: April 20, 2024 at 03:04 o'clock
12 Comments
Latest comment
Moin!
Das macht doch der Assistent in der Konsole beim SBS soweit ich mich erinnere. Einfach nochmal durchlaufen lassen.
VG
Buc
Das macht doch der Assistent in der Konsole beim SBS soweit ich mich erinnere. Einfach nochmal durchlaufen lassen.
VG
Buc
Moin moin,
leider nein, es gibt ja bereits ein neues, von der falschen CA. Der Assistent sieht hier also keinen Handlungsbedarf
Der Weg wäre ja einfach ein funktionierenden Request aus Exchange zu generiren. Ich hab sogar ein Tool gefunden, dass die fertige powershell-Zeile generieren soll:
https://www.digicert.com/easy-csr/exchange2010.htm
Aber das funktioniert auch nicht, weil
"Failed to convert DNS-Name=intra.company.de from System.String to Microsoft.Exchange.Data.Smtp
DomainWithSubdomains. Error: Error while converting string 'DNS-Name=intra.company.de' to result type Microsoft.Exchange.Data
.SmtpDomainWithSubdomains: "DNS-Name=intra.company.de" isn't a valid SMTP domain."
Wieso ist denn hier die aktiv genutze SMTP domain wieder ungültig?
VG, Thomas
leider nein, es gibt ja bereits ein neues, von der falschen CA. Der Assistent sieht hier also keinen Handlungsbedarf
Der Weg wäre ja einfach ein funktionierenden Request aus Exchange zu generiren. Ich hab sogar ein Tool gefunden, dass die fertige powershell-Zeile generieren soll:
https://www.digicert.com/easy-csr/exchange2010.htm
Aber das funktioniert auch nicht, weil
"Failed to convert DNS-Name=intra.company.de from System.String to Microsoft.Exchange.Data.Smtp
DomainWithSubdomains. Error: Error while converting string 'DNS-Name=intra.company.de' to result type Microsoft.Exchange.Data
.SmtpDomainWithSubdomains: "DNS-Name=intra.company.de" isn't a valid SMTP domain."
Wieso ist denn hier die aktiv genutze SMTP domain wieder ungültig?
VG, Thomas
Hallo,
Ich habe so etwas immer als Anlass genommen, die Stammzertifizierungsstelle vom SBS runterzuschmeißen und noch einmal neu zu installieren (um dabei die Webregistrierung nachzuziehen).
Danach habe ich mir dann über diese CA ein Zertifikat ausgestellt: https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zerti ...
Das hat auch auf den SBS fein geklappt. Zu erwähnen wäre allerdings, dass man u.U. auch noch den IIS (Sharepoint) nachziehen muss. Grundsätzlich war das aber kein Hexenwerk.
Gruß,
Jörg
Zitat von @D-Elektronik:
leider nein, es gibt ja bereits ein neues, von der falschen CA. Der Assistent sieht hier also keinen Handlungsbedarf
leider nein, es gibt ja bereits ein neues, von der falschen CA. Der Assistent sieht hier also keinen Handlungsbedarf
Ich habe so etwas immer als Anlass genommen, die Stammzertifizierungsstelle vom SBS runterzuschmeißen und noch einmal neu zu installieren (um dabei die Webregistrierung nachzuziehen).
Danach habe ich mir dann über diese CA ein Zertifikat ausgestellt: https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zerti ...
Das hat auch auf den SBS fein geklappt. Zu erwähnen wäre allerdings, dass man u.U. auch noch den IIS (Sharepoint) nachziehen muss. Grundsätzlich war das aber kein Hexenwerk.
Gruß,
Jörg
Hallo altmetaller,
was bin ich froh, dass ich deinem Weg nun doch nicht folgen musste. Aber damit wäre ich sicherlich auch ans Ziel gekommen, daher geht der Punkt an dich. frankysweb hat mir auch schon öfter aus der Patsche geholfen.
Die Lösung lag glücklicherweise doch in den Assistenten, nämlich "Internetadresse einrichten". Zwar hatte der Assi mehrere Meckerpunkte und meldete letztlich Erfolglosigkeit, aber yippieh - das Cert wurde trotzdem erstellt und es war auch direkt überall eingetragen, wie benötigt. Puh!
Was bin ich froh, dass es diese SBS-Diven eigentlich nicht mehr gibt ;)
was bin ich froh, dass ich deinem Weg nun doch nicht folgen musste. Aber damit wäre ich sicherlich auch ans Ziel gekommen, daher geht der Punkt an dich. frankysweb hat mir auch schon öfter aus der Patsche geholfen.
Die Lösung lag glücklicherweise doch in den Assistenten, nämlich "Internetadresse einrichten". Zwar hatte der Assi mehrere Meckerpunkte und meldete letztlich Erfolglosigkeit, aber yippieh - das Cert wurde trotzdem erstellt und es war auch direkt überall eingetragen, wie benötigt. Puh!
Was bin ich froh, dass es diese SBS-Diven eigentlich nicht mehr gibt ;)
Moin,
@D-Elektronik
Das Problem waren / sind nicht die SBS-Diven, sondern die Leutz, die wild an diesen Teilen rumschrauben, ohne auch nur den Hauch einer Ahnung zu haben, was sie da eigentlich genau treiben ...
LG, Thomas
@D-Elektronik
Was bin ich froh, dass es diese SBS-Diven eigentlich nicht mehr gibt
Das Problem waren / sind nicht die SBS-Diven, sondern die Leutz, die wild an diesen Teilen rumschrauben, ohne auch nur den Hauch einer Ahnung zu haben, was sie da eigentlich genau treiben ...
LG, Thomas
Hallo,
wie gesagt: Ein weiterer Profit war bei mir immer, dass ich die Webregistrierung nachziehen konnte.
Damit habe ich z.B. Zertifikate für Linux-Systeme ausgestellt die der Domäne zuarbeiten.
Gruß,
Jörg
wie gesagt: Ein weiterer Profit war bei mir immer, dass ich die Webregistrierung nachziehen konnte.
Damit habe ich z.B. Zertifikate für Linux-Systeme ausgestellt die der Domäne zuarbeiten.
Gruß,
Jörg
wer behauptet, dass der SBS2011 keine Diva war, hat doch nie damit gearbeitet ;)
Trotzdem war ich anfangs ziemlich enttäuscht, als MS die Wollmilchsau rausgeworfen hat, weil das für meine Klein-Patienten immer die richtige Wahl war. Aber die MS-Entscheidung war absolut richtig, zumal man heute dank Virtualisierung nicht mal mehr zusätzliche Hardware für aufgeteilte Serverrollen braucht.
VG, Thomas
Trotzdem war ich anfangs ziemlich enttäuscht, als MS die Wollmilchsau rausgeworfen hat, weil das für meine Klein-Patienten immer die richtige Wahl war. Aber die MS-Entscheidung war absolut richtig, zumal man heute dank Virtualisierung nicht mal mehr zusätzliche Hardware für aufgeteilte Serverrollen braucht.
VG, Thomas
@D-Elektronik
Der SBS hat in meiner Praxis seit release 2003R2 bis letztes Jahr getuckert ... bis zum bitteren Ende
Und, btw - ohne jegliche grössere Beschwer. Aber ich habe mir halt auch zu jedem release den Joos (auch ein Thomas) dazu reingezogen und nicht mit powershell et al an dem Teil rumgedreht bis die Lucie freigedreht ist.
LG, Thomas
wer behauptet, dass der SBS2011 keine Diva war, hat doch nie damit gearbeitet
Der SBS hat in meiner Praxis seit release 2003R2 bis letztes Jahr getuckert ... bis zum bitteren Ende
Und, btw - ohne jegliche grössere Beschwer. Aber ich habe mir halt auch zu jedem release den Joos (auch ein Thomas) dazu reingezogen und nicht mit powershell et al an dem Teil rumgedreht bis die Lucie freigedreht ist.
LG, Thomas
Moin,
auch ich habe vom SBS 2003 bis SBS 2011 gerne mit dem OS gearbeite und nur wenige Probleme gehabt. Ich bin danach auf den 2016er Essentials umgestiegen. Läuft sehr stabil und macht ebenfalls keine Probleme.
Gruß
Uwe
auch ich habe vom SBS 2003 bis SBS 2011 gerne mit dem OS gearbeite und nur wenige Probleme gehabt. Ich bin danach auf den 2016er Essentials umgestiegen. Läuft sehr stabil und macht ebenfalls keine Probleme.
Gruß
Uwe
Hallo,
Ich habe sehr viel damit gearbeitet, hatte meine konsequent "auf Grün" und fand nicht, dass der SBS "eine Diva" ist.
Zumindest nicht solange, wie man bei Problemen nicht irgenwelche Powershell-Befehle vom ersten Google-Treffer in die Shell pastet. Naja, und die Assistenten gibt es auch nicht ohne Grund.
Das einzige Problem, dass der Out-of-the-Box hat war, dass einige Sharepoint-Kennwörter (spsearch, spfarm) 30 Tage nach Installation abgelaufen sind. Aber das konnte man ja recht leicht fixen ("Kennwort läuft nie ab").
Gruß,
Jörg
Zitat von @D-Elektronik:
wer behauptet, dass der SBS2011 keine Diva war, hat doch nie damit gearbeitet ;)
wer behauptet, dass der SBS2011 keine Diva war, hat doch nie damit gearbeitet ;)
Ich habe sehr viel damit gearbeitet, hatte meine konsequent "auf Grün" und fand nicht, dass der SBS "eine Diva" ist.
Zumindest nicht solange, wie man bei Problemen nicht irgenwelche Powershell-Befehle vom ersten Google-Treffer in die Shell pastet. Naja, und die Assistenten gibt es auch nicht ohne Grund.
Das einzige Problem, dass der Out-of-the-Box hat war, dass einige Sharepoint-Kennwörter (spsearch, spfarm) 30 Tage nach Installation abgelaufen sind. Aber das konnte man ja recht leicht fixen ("Kennwort läuft nie ab").
Gruß,
Jörg
Zitat von @keine-ahnung:
Das Problem waren / sind nicht die SBS-Diven, sondern die Leutz, die wild an diesen Teilen rumschrauben, ohne auch nur den Hauch einer Ahnung zu haben, was sie da eigentlich genau treiben ...
Das Problem waren / sind nicht die SBS-Diven, sondern die Leutz, die wild an diesen Teilen rumschrauben, ohne auch nur den Hauch einer Ahnung zu haben, was sie da eigentlich genau treiben ...
Treffender kann man die Entwicklungsabteilung bei MS nicht beschreiben.
Diese "Drüberbügel-Fähigkeit" der Assis wusste ich immer zu schätzen...
VG
Buc
Hallo,
yo - schönstes Beispiel: Der Sharepoint provoziert irgendwann aufgrund der von mir beschriebenen Problematik Fehler.
Also fängt der Wald- und Wiesenadmin an, den Sharepoint zu deaktivieren. Es werden Dienste gestoppt, deaktiviert, Systemdateien gelöscht, Komponenten deinstalliert... und damit nimmt das Unglück dann so langsam und sicher seinen Lauf.
Irgendwann stolpern die VSS-Writer vom Sharepoint, das Backup läuft dann nicht mehr - soll ich weitermachen? Ich könnte Dir quasi aus dem Kopf eine Liste von Fehlern schreiben, die ein hundsgemeiner Computer-BILD-Admin in so ein Teil einbaut. In korrekter chronologischer Reihenfolge.
Gruß,
Jörg
yo - schönstes Beispiel: Der Sharepoint provoziert irgendwann aufgrund der von mir beschriebenen Problematik Fehler.
Also fängt der Wald- und Wiesenadmin an, den Sharepoint zu deaktivieren. Es werden Dienste gestoppt, deaktiviert, Systemdateien gelöscht, Komponenten deinstalliert... und damit nimmt das Unglück dann so langsam und sicher seinen Lauf.
Irgendwann stolpern die VSS-Writer vom Sharepoint, das Backup läuft dann nicht mehr - soll ich weitermachen? Ich könnte Dir quasi aus dem Kopf eine Liste von Fehlern schreiben, die ein hundsgemeiner Computer-BILD-Admin in so ein Teil einbaut. In korrekter chronologischer Reihenfolge.
Gruß,
Jörg
