Zertifikate

Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle

18. February 2015 by Malte Schoch 3 Comments

Bei der Installation von Exchange Server 2013 habe ich folgende Meldung erhalten:

Error:
The following error was generated when “$error.Clear();
Install-ExchangeCertificate -WebSiteName “Exchange Back End” -services “IIS, POP, IMAP” -DomainController $RoleDomainController
-InstallInTrustedRootCAIfSelfSigned $true
if ($RoleIsDatacenter -ne $true -And $RoleIsPartnerHosted -ne $true)
{
Install-AuthCertificate -DomainController $RoleDomainController
}
” was run: “Microsoft.Exchange.Management.SystemConfigurationTasks.
AddAccessRuleCryptographicException: Could not grant Network Service access to the certificate
with thumbprint 4D3EF9423ABF9B69A849FDFD19AB97BD8676D348 because a cryptographic exception was thrown. —>
System.Security.Cryptography.CryptographicException: Access is denied.

at Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.
CAPIAddAccessRule(X509Certificate2 certificate, AccessRule rule)
at Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.
AddAccessRule(X509Certificate2 certificate, AccessRule rule)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
ManageExchangeCertificate.EnableForServices(X509Certificate2 cert,
AllowedServices services, String websiteName, Boolean requireSsl,
ITopologyConfigurationSession dataSession, Server server, List`1 warningList,
Boolean allowConfirmation, Boolean forceNetworkService)
— End of inner exception stack trace —
at Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl)
at Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
InstallExchangeCertificate.EnableForServices(X509Certificate2 cert, AllowedServices services)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
InstallExchangeCertificate.InternalProcessRecord()
at Microsoft.Exchange.Configuration.Tasks.Task.b__b()
at Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)”.

Nach ein bisschen Suchen habe ich festgestellt, dass es im lokalen Zertifikatsspeicher ein Zertifikat gibt, welches der Exchange Server nicht kennt.
Starten Sie dazu die Windows Powershell (nicht Exchange Powershell) und setzen Sie folgende Befehle ab:

Add-PSSnapin Micosoft.Exchange.Management.Powershell.E2010
Get-ExchangeCertificate

Wenn wir diese Informationen mit den lokalen Zertifikaten vergleichen, fällt auf, dass es ein Zertifikat gibt, welches der Exchange nicht kennt.

Sie können nun in die Eigenschaften der Zertifikate gehen und anhand der Thumbprint vergleichen, welches Zertifikat nicht in der Exchange Powershell angezeigt wird. Entfernen Sie diese Zertifikat danach aus den lokalen Zertifikatsspeicher.

Im Anschluss starten Sie das Exchange Setup erneut.

Exchange 2013 Serverzertifikat erstellen

8. June 2013 by Malte Schoch 10 Comments

Nach der Installation eines Exchange 2013 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

Server
Server.domäne.local
mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Öffnen Sie die Exchange Verwaltungskonsole

Klicken Sie unter “Server” und “Zertifikate” auf “+” …

Erstellen Sie eine neue Anforderung für die Zertifizierungsstelle

Da wird nur nur eine Domäne haben, brauchen wir hier keine Stammdomäne eintragen.

Wählen Sie aus, auf welchen Exchange Servern die Zertifikatsanforderung gespeichert werden soll.

Bitte tragen Sie in die entsprechenden Felder die erforderlichen Daten ein.

Als Default Name empfehle ich Ihnen immer den internen Servernamen.

Allgemeine Informationen zu Ihrem Unternehmen…

Bitte wählen Sie einen entsprechenden Speicherort für die Zertifikatsanforderung aus. (Der Speicherort muss immer als UNC Pfad angegeben werden)

Bitte starten Sie den Browser und öffnen die URL der Zertifizierungsstelle. Wenn Sie intern noch keine Zertifizierungsstelle installiert haben, gehen Sie bitte folgendermaßen vor:
Installation Zertifizierungsstelle Windows Server 2008 -> https://www.msblog.eu/microsoft-zertifizierungsstelle-installieren/
Installation Zertifizierungsstelle Windows Server 2012 -> https://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/

Bitte wählen Sie erweiterte Zertifikatsanforderung aus..

Sie wollen eine bestehende Anforderung einsenden..

Bitte kopieren Sie den Inhalt von der .req Datei, welche Sie von der Exchange Console abgespeichert haben. Sie können die Datei mit einem Editor öffnen.
Als Zertifikatsvorlage wählen Sie bitte “Webserver” aus und klicken auf “Einsenden”

Bestätigen Sie den Vorgang…

Laden Sie das Zertifikat herunter und speichern Sie in einen entsprechenden Pfad ab. (Dieser Pfad sollte wieder per UNC erreichbar sein)

Wechseln Sie wieder in die Exchange Verwaltungskonsole unter “Server” und dann Zertifikate

Tragen Sie den entsprechenden Pfad für das Zertifikat ein, welches Sie von der Zertifizierungsstelle heruntergeladen haben und bestätigen Sie mit “OK”.

In Anschluss müssen wir den Zertifikat noch die entsprechenden Dienste zuweisen. Wählen Sie also das neue Zertifikat aus und klicken auf “bearbeiten”.

Wählen Sie hier bitte die entsprechenden Dienste aus, welche für das Zertifikat verwendet werden sollen.

Sollten Sie schon ein Zertifikat auf ein bestehenden Service hinterlegt haben, bestätigen Sie bitte, dass dieses nun ausgetauscht wird.

Windows Server 2012 Zertifizierungsstelle installieren

5. June 2013 by Malte Schoch 11 Comments

Wer für bei Microsoft Exchange Servern mit internen Zertifikaten arbeiten möchte, braucht intern eine Zertifizierungsstelle. Die Erstellung eines Exchange 2010 Zertifikats habe ich bereits in in diesem Artikel beschrieben.
In diesem Artikel geht es nun um die Installation der Zertifizierungsstelle und somit um eine Grundfunktion, um ein Zertifikat zu beantragen.

Starten Sie den Servermanager und fügen Sie eine neue Rolle hinzu…

Wählen Sie im Server Manager “Rollen und Features hinzufügen”.

Starten Sie den Installationsmodus für “Rollenbasierte oder featurebasierte Installation”.

Die Installation soll auf dem lokalen Server erfolgen.

Wählen Sie “Active Directory-Zertifikatsdienste” aus..

Bestätigen Sie die Auswahl..

Auswahl von zusätzlichen Features..

Ein Hinweis, dass nach der Installation der Zertifikatsdienste, der Name des Servers nicht mehr geändert werden kann.

Wählen Sie bitte “Zertifizierungsstelle” und “Zertifizierungsstellen-Webregistrierung” aus.

Bestätigen Sie die Auswahl..

Starten Sie die Installation..

Abschluss der Installation

Im Anschluss muss der Server bzw. müssen die Zertifikatsdienste noch konfiguriert werden.

Bitte überprüfen Sie, ob ihr Account die angegebenen Zugriffsrechte besitzt.

Bitte wählen Sie auch hier wieder beide Optionen “Zertifizierungsstelle” und “Zertifizierungsstellen-Webregistrierung” aus.

Wir erstellen eine Zertifizierungsstelle für die Domäne..

Die erste Zertifizierungsstelle…

Da wir noch keine Zertifizierungsstelle haben, erstellen wir einen neuen privaten Schlüssel für das Root Zertifikat.

Festlegung der Kryptografie Einstellungen…

Allgemeiner Name der Zertifizierungsstelle (frei wählbar)..

Gültigkeitsdauer für das Root Zertifikat. Nach Ablauf des gewählten Zeitraums, müssen Sie das Root Zertifikat erneuern.

Speicherort der Datenbank …

Überprüfung der Installation..

Abschluss der Installation..

Danach ist die neue Zertifizierungsstelle per Browser erreichbar:
http://servername/certsrv

Exchange 2007 Serverzertifikat erstellen

25. June 2012 by Malte Schoch Leave a Comment

In dem Artikel Exchange 2010 Serverzertifikat erstellen habe ich beschrieben, wie man in Exchange 2010 ein Serverzertifikat in der EMC erstellen kann. In Exchange 2007 müssen Sie dafür noch die Powershell nutzen, da die Zertifikatsverwaltung noch nicht in die EMC integriert ist.

Starten Sie die Exchange Powershell und geben Sie folgenden Befehl ein:

New-ExchangeCertificate -GenerateRequest -DomainName msblog-mail, msblog-mail.msblog.local, autodiscover.msblog.local, mail.msblog.eu, autodiscover.msblog.eu, outlook.msblog.eu -FriendlyName msblog-mail.msblog.local -PrivateKeyExportable:$true -Path c:\msblog.txt

In dem Paramter “DomainName” müssen Sie alle Namen eintragen, auf die das Zertifikat ausgestellt werden soll. Ich empfehle immer, folgende Namen einzutragen:

Server
Server.domäne.local
mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
autodiscover.domäne.eu

Für die nächsten Schritte benötigen wir nun eine interne Zertifizierungsstelle. Die Zertifizierungsstelle ist immer über folgenden Link erreichbar: http://Servername/certsrv

Reichen Sie eine erweiterte Zertifikatsanforderung ein.

Da Sie schon eine Anforderung erstellt haben, reichen Sie eine Anforderung ein.

In dem Feld “Gespeicherte Anforderung” kopieren Sie bitte den Inhalt der Anforderungsdatei, welche Sie auf dem Computer abgespeichert haben. Als Vorlage wählen Sie bitte Webserver aus.

Laden Sie sich das neue Zertifikat herunter und speichern Sie es wieder an einem beliebigen Ort ab. (Ich empfehle Ihnen C:)

Wechseln Sie danach wieder in die Powershell und importieren Sie das Zertifikat:
Import-ExchangeCertificate -Path c:\msblog-mail.cer

Als Ausgabe bekommen Sie einen Thumprint. Bitte kopieren Sie sich diese ID in die Zwischenablage.

Zum Schluss müssen Sie das neue Zertifikat noch für die entsprechenden Dienste aktivieren.
Enable-ExchangeCertificate -Thumbprint B950F00782A7B222EEC24443382723109CC131AF -Services ‘IIS, POP, IMAP, SMTP’

Zum Schluss werden Sie gefragt, ob das bestehende Zertifikat ersetzt werden soll. Dies bestätigen Sie bitte.
Das neue Zertifikat ist nun komplett installiert und wird vom dem Exchange Server verwendet.

Root Zertifikat per Gruppenrichtlinie verteilen

2. February 2012 by Malte Schoch 1 Comment

Wenn Sie z.B. für Exchange eine neue Zertifizierungsstelle installieren, dann vertrauen die Clients dem neuen Root Zertifikat erstmal nicht. Somit würde es z.B. bei Exchange immer eine Fehlermeldung geben, wenn die Clients ihr Outlook starten.

Um dieses Problem schnell zu lösen, können Sie eine Gruppenrichtlinie erstellen, welche das Root Zertifikat bei der Anmeldung automatisch zu den Vertrauenswürdigen Stammzertifizierungsstellen des lokalen Computers hinzufügt.

Erstellen Sie dazu eine neue Richtlinie:

Und navigieren Sie danach zu folgender Richtlinie:
Computerkonfiguration -> Windows-Einstellungen -> Richtlinie für öffentlichen Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen

Dort importieren Sie einfach das Root Zertifikat der Domäne und die Clients bekommen dies entsprechend zugeteilt.