Exchange Zertifikat erneuern – Anleitung zum verlängern eines abgelaufenen Zertifikats

HowTo: So verlängert man ein selbst erstelltes (self-signed) Exchange Zertifikat

Mit diesen SSL Exchange Zertifikaten ist es so ne Sache, denn diese lassen sich nur für ein Jahr verlängern und jedes Jahr kommt erneut die Erinnerung hoch, bei der man sich frägt – ist es denn die Möglichkeit, das schon wieder ein Jahr ins Land gezogen ist? Ja – ist es wohl und die zweite Frage die ich mir danach immer stelle ist – wie waren nochmals die Befehle über welche man ein selbst erstelltes Exchange Zertifikat verlängern kann? Nach jeder Verlängerung nehme ich mir vor einen kleinen Blog-Eintrag darüber zu verfassen, doch wie es scheint, habe ich dies bei der letzten Verlängerung wieder einmal vergessen, da ich über die Suche nichts gefunden habe! Doch heute ist der Tag der Tage und ich schreibe Euch einen kleinen Artikel darüber wie man ein abgelaufenes Exchange Zertifikat verlängern kann.

Dieses kleine HowTo ist für alle gängigen Exchange Server Varianten (2007, 2010 und 2013) gültig. Die Verlängerung des Exchange Zertifikats erledigen wir über die Exchange Verwaltungsshell (Management Shell), in welcher wir nun folgende Befehle anwenden müssen:

Schritt 1:  Alle aktuellen Zertifikate anzeigen lassen
Auf einem Exchange Server können mehrere Zertifikate zum Einsatz kommen, damit mir schnell heraus finden können, welches Zertifikat wir verlängern müssen, lassen wir uns alle derzeit hinterlegten Zertifikate anzeigen.

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

Ist dieser Befehl abgesetzt, bekommt man eine komfortable Auflistung aller Zertifikate inklusive des Thumbprints. Diesen Thumbprint benötigen wir nun im nächsten Schritt um genau dieses Zertifikat zu verlängern bzw. ein neues Exchange Zertifikat zu erstellen.

 

 

Schritt 2: Neues Exchange Zertifikate erstellen
Bei erstellen des neuen Zertifikats wird nun der Thumbprint des alten Zertifikats benötigt.

get-exchangecertificate -thumbprint „Thumbprint des alten Zertifikats“ | new-exchangecertificate

Wird dieser Befehl abgesetzt, kommt es zu einer Rückfrage vom System, bei dem gefragt wird, ob man das Zertifikat auch überschreiben möchte. Dies muss man natürlich mit „Ja“ bestätigen.

Lässt man sich nun nochmals alle verfügbaren Zertifikate mit dem Befehl

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

auflisten, so stellt man wahrscheinlich sehr schnell fest. Im alten Zertifikat ist der IIS Service integriert, welcher im gerade generierten Zertifikat fehlt! Daher schalten wir bei der Aktivierung des Zertifikats diesen Service noch mit drauf!

 

Schritt 3: Neues Exchange Zertifikat aktivieren und IIS Dienst freischalten
Damit wir das neue Zertifikat aktivieren können, benötigen wir den Thumbprint des gerade erstellten Zertifikates. Diesen sollte man in der gerade ausgegebenen Übersicht sehen. Hat man diesen kopiert, wird dieser in folgende Befehlszeile eingefügt:

enable-exchangecertificate -thumbprint „Tumbprint des neuen Zertifikats“ -services IIS

 

So, im Prinzip wäre man nun schon fertig!
Wer möchte kann sich jetzt nochmals die Übersicht ausgeben lassen um alle Daten quer zu checken:

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

Jetzt legen wir aber noch einen Schritt oben drauf …

 

Schritt 4: Altes Zertifikat löschen
Das Löschen erledigen wir ebenfalls über einen kurzen Befehl in der Exchange Konsole. Hier benötigen wir wieder den Thumbprint des alten abgelaufenen Zertifikats.

Remove-ExchangeCertificate –Thumbprint „Thumbprint des abgelaufenen Zertifikates“

Fertig! Alle Schritte sind nun abgearbeitet und ihr habt wieder ein Jahr Eure Ruhe!