Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

dinsdag 9 juli 2013 12:02

Acties:
  • mbr99
  • Registratie: Juli 2004
  • Laatst online: 19-02-2022

mbr99

Topicstarter
Beste lezer,

Ik heb een exchange 2007 server draaien. Ik krijg nu meldingen in het eventlog dat het STARTTLS certificaat gaat verlopen. Helaas zegt mij dit niet zoveel.

Ik heb een 2-tal certificaten gevonden, diegeen die gaat verlopen en als dienst SMTP draait en eentje die nog wel even geldig is en ook (o.a.) SMTP als dienst draait. Die eerste is denk ik een automatisch gemaakt certificaat. Bij Domains vermeld hij ook het interne domain, en de 2e gedlige vermeld ons domein die gebruikt wordt voor mail en ooit via een 3rd party is aangevraagt.

Moet ik me zorgen maken of moet ik dit gewoon verlengen volgens de new-exchangecertificate commando of gewoon dit certificaat verwijderen omdat smtp service al op het andere certificaat draait?

Dank.

Marcel

dinsdag 9 juli 2013 12:29

Acties:
  • Oogje
  • Registratie: Oktober 2003
  • Niet online

Oogje

1 certificaat wordt standaard door de installatie aangemaakt. De RootCA van dit certificaat is de server zelf.
Je Starttls certificaat is waarschijnlijk het certificaat die gebruikt wordt voor OWA, ActiveSync en Outlook Anywhere. De RootCA van dit certificaat is waarschijnlijk een algemene trusted CA zoals bv Thawte.
Die zul je dus moeten verlengen, anders krijg je problemen met het feit dat devices je RootCA niet vertrouwen.

Any errors in spelling, tact, or fact are transmission errors.

dinsdag 9 juli 2013 12:47

Acties:
  • mbr99
  • Registratie: Juli 2004
  • Laatst online: 19-02-2022

mbr99

Topicstarter
OWA maakt gebruik van het certificaat die ook gebruikt wordt voor o.a. SMTP (het 3rd party cert.). De rest van de diensten die je noemt worden niet gebruikt.

Misschien geeft dit een duidelijker beeld. Deze gaat verlopen:

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {servernaam, servernaam.domeinnaam.lan}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=servernaam
NotAfter : 24-07-2013 15:48:21
NotBefore : 24-07-2012 15:48:21
PublicKeySize : 2048
RootCAType : None
SerialNumber : 55D2A3ED55E022B1489A1167D00EB2C6
Services : SMTP
Status : Valid
Subject : CN=ares
Thumbprint : 426B5C4CB340C72830EBACE95ECFFBE999889F27

Echter deze staat er ook:

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.maildomein.nl}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=GeoTrust DV SSL CA, OU=Domain Validated SSL, O=GeoTrust
Inc., C=US
NotAfter : 06-02-2014 21:34:49
NotBefore : 04-02-2013 04:32:12
PublicKeySize : 2048
RootCAType : ThirdParty
SerialNumber : 05FAE3
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=mail.maildomein.nl, OU=Domain Control Validated - QuickSSL
(R) Premium, OU=See www.geotrust.com/resources/cps (c)13,
OU=GT16836205, SERIALNUMBER=hj0nW1PvirnIhdmx51/pcXp3/LarDU
Qa
Thumbprint : 4D9B8D512826F6C5F289D914290E9892A16C1A6B


Zoals vermeld Activesync gebruiken we niet, alleen IMAP, SMTP en OWA. Moet ik dan nog steeds iets verlengen en zo ja kan dit gewoon via de server zelf?

Marcel

donderdag 11 juli 2013 10:22

Acties:
  • Oogje
  • Registratie: Oktober 2003
  • Niet online

Oogje

Het is dus het selfsigned certificaat. Die is met weinig inspanning via de server zelf te verlengen.
Ik kan zo niet overzien of het niet verlengen consequenties voor je heeft.

Any errors in spelling, tact, or fact are transmission errors.

dinsdag 16 juli 2013 12:33

Acties:
  • mbr99
  • Registratie: Juli 2004
  • Laatst online: 19-02-2022

mbr99

Topicstarter
Zodra ik een get met juiste thumbprint en | renew wil uitvoeren vraagt deze om een bevestiging om het andere certificaat die draait op het mail domein (en voorlopig geldig is) te vervangen. Dat is niet de bedoeling.

Je kan dus niet zo'n cert vervangen?

Marcel

dinsdag 16 juli 2013 14:32

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 18:38

Jazzy

Moderator SSC/PB

Moooooh!

Kun je de opdrachtregel eens copy en pasten?

Exchange en Office 365 specialist. Mijn blog.

woensdag 17 juli 2013 08:30

Acties:
  • mbr99
  • Registratie: Juli 2004
  • Laatst online: 19-02-2022

mbr99

Topicstarter
Deze gaat verlopen en geeft de starttls melding:

The STARTTLS certificate will expire soon: subject: servernaam, domeinnaam.deel2.lan, hours remaining: new. Run the New-ExchangeCertificate cmdlet to create a new certificate.

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {servernaam, domeinnaam.deel2.lan}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=servernaam
NotAfter : 24-07-2013 15:48:21
NotBefore : 24-07-2012 15:48:21
PublicKeySize : 2048
RootCAType : None
SerialNumber : 55D2A3ED55E022B1489A1167D00EB2C6
Services : SMTP
Status : Valid
Subject : CN=servernaam
Thumbprint : 426B5C4CB340C72830EBACE95ECFFBE999889F27


Dit is de geldige verstrekt door GeoTrust:

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {externmaildomein}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=GeoTrust DV SSL CA, OU=Domain Validated SSL, O=GeoTrust
Inc., C=US
NotAfter : 06-02-2014 21:34:49
NotBefore : 04-02-2013 04:32:12
PublicKeySize : 2048
RootCAType : ThirdParty
SerialNumber : 05FAE3
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=externmaildomein, OU=Domain Control Validated - QuickSSL
(R) Premium, OU=See www.geotrust.com/resources/cps (c)13,
OU=GT16836205, SERIALNUMBER=hj0nW1PvirnIhdmx51/pcXp3/LarDU
Qa
Thumbprint : 4D9B8D512826F6C5F289D914290E9892A16C1A6B

Dit is de uitkomst na uitvoeren van:

[PS] >get-exchangecertificate -thumbprint 426B5C4CB340C72830EBACE95ECFFBE999889F27 | new-exchangecertificate

Confirm
Overwrite existing default SMTP certificate,
'4D9B8D512826F6C5F289D914290E9892A16C1A6B' (expires 06-02-2014 21:34:49), with
certificate 'B2AF7D952B6F5AB126C6BDA3FB8CFF753D2F0E4D' (expires 17-07-2018
08:27:06)?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help
(default is "Y"):n

Thumbprint Services Subject
---------- -------- -------
B2AF7D952B6F5AB126C6BDA3FB8CFF753D2F0E4D ..... CN=servernaam

Marcel

vrijdag 19 juli 2013 14:39

Acties:
  • Verwijderd
  • Registratie: Januari 1970
  • Niet online

Verwijderd

Is dit een SBS server? Zoja dan kun je dat oude certificaat gewoon weg gooien, of die meldingen negeren. Dit is een known issue wanneer je via de sbs console een trusted ssl certficaat toevoegd via de sbs console. Hij gooit na de import het oude certificaat niet weg terwijl alle services wel het trusted certficaat gebruiken.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq