Jeder Admin kennt das Problem auf dem Exchange Server 2007 das das Zertifikat nach einem, oder bei neueren Installationen nach zwei, Jahren abläuft. Leider gibt es in Exchange 2007 in der Management Konsole keine Möglichkeit das Zertifikat zu verlängern. Daher hier eine Anleitung wie ein abgelaufenes Zertifikat in Exchange 2007 mit wenigen Schritten erneuert werden kann.
Zunächst startet die Exchange Server Shell erhöhten Admin Rechten. Dies ist auch wenn ihr als Administrator angemeldet seid von Nöten um die Befehle ausführen zu können.
Führt als erstes diesen Befehl aus um euch die Exchange Zertifikate anzeigen zu lassen.
Get-ExchangeCertificate | fl
Wenn man will kann man mit dem Parameter -Domain noch den vollständigen Servernamen mit geben, dann werden nur die Zertifikate für diesen Server ausgegeben und die Liste ist nicht so lang.
Das sähe dann zum Beispiel so aus.
Get-ExchangeCertificate -Domain "Server.domain.local" | fl
Kopiert euch nun den Fingerabdruck (Thumbprint) des Zertifikats welches abgelaufen ist und bei dem die Dienste (Services) POP, IMAP, IIS, SMTP aktiv sind.
Mit diesem Befehl wird für genau dieses Zertifikat ein neues erstellt und auch gleich importiert und aktiviert.
Get-ExchangeCertificate -thumbprint “Thumbprint” | New-ExchangeCertificate
Nun bekommt ihr eine Abfrage bei dem ihr bestätigen müsst das das vorhandene Zertifikat für den SMTP Dienst überschrieben werden soll. Dies Bestätigt ihr mit Ja.
In der nächsten Angezeigten Ausgabe wird der Thumbprint des neuen Zertifikats ausgegeben. Diesen kopiert ihr euch wieder und fügt ihn in diesen Befehl ein.
Get-ExchangeCertificate -thumbprint “Thumbprint” | fl
Nun wird das neue Zertifikat angezeigt. Hier sieht man das bei dem neuen Zertifikat der Dienst IIS nicht mit integriert ist. Diesen muss man nun mit diesem Befehl noch manuell hinzufügen.
Enable-ExchangeCertificate -thumbprint “Thumbprint” -services IIS
Nun seit ihr fertig und das neue Zertifikat ist aktiv und zur Verwendung bereit. Beim nächsten Start von Outlook 2007 bekommt ihr wieder eine Zertifikatswarnung mit dem neuen Zertifikat und könnt dies wieder in die Vertrauenswürdigen Stammzertifikate importieren. Bei Outlook 2010 ist der erneute Import des Zertifikats nicht von Nöten, da sich Outlook 2010 von selber das aktuell gültige zu holen scheint. Hab zumindest keine Zertifikatswarnung bekommen.