Abgelaufene Zertifikate am Small Business Server 2011 erneuern

Wenn Sie einen Small Business Server 2011 (SBS 2011) mit einem selbstsigniertem Zertifikat betreiben, hat dieses Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und muss daher regelmäßig erneuert werden.

Im Ereignisprotokoll in den Anwendungen auf dem SBS2011 erhalten Sie u.a. folgende Meldungen:

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet ”New-ExchangeCertificate” aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx
  • MSExchangeTransport (12016):Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von ‘<Domain>’ vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues Zertifikat, das den FQDN von ‘<Domain>’ enthält, sollte so bald wie möglich auf diesem Server installiert werden. Sie können ein neues Zertifikat mithilfe des Tasks ‘New-ExchangeCertificate’ erstellen.
  • MSExchange Web Services (25): Das Exchange-Zertifikat ‘[Subject]
    CN='<Domain>’ [Thumbprint] läuft sehr bald ab
  • MSExchange Web Services (26): Das Exchange-Zertifikat ‘[Subject]
    CN='<Domain>’ [Thumbprint] läuft am <Datum und Uhrzeit> ab.

Um das abgelaufene Zertifikat am Small Business Server 2011 für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt KonnektivitätAbgelaufene Zertifikate am Small Business Server 2011 erneuern
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
    Sollten Sie den Fehler:
    Windows SBS Internetadressenverwaltung
    Angezeigt bekommen, so führen Sie zuerst unter Task den Punkt Mit dem Internet verbinden aus
  • Lassen Sie den Assistenten durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Assistent fertig ist
  • Wenn der Assistent fertig ist und Sie nun das Zertifikat mit einem doppelklick öffnen, sollte dort der neue Gültigkeitszeitraum angezeigt werden (von heute / bis in zwei Jahren)

Anschließend können Sie Ihren Small Business Server 2011 wie gewohnt verwenden. Ein Neustart ist nicht notwendig.

 

Variante 2:

Wenn Sie den Einrichtungsassistent nicht nutzen wollen, oder falls es dort zu einem Problem gekommen ist, können Sie versuchen die Zertifikate auch direkt über den IIS-Manager zu erneuern. Hierfür gehen Sie wie folgt vor:

 

  • Im Menü Verwaltung öffnen Sie den Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus
  • Rechts daneben (im Fenster in der Mitte) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
    Internetinformationsdienste IIS Manager
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf das Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat ausgewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.
    Solltet Ihr bei diesem Vorgang den Fehler: “Die Zertifikatsanforderung wurde an die Online-Zertifizierungsstelle gesendet, das Zertifikat jedoch nicht ausgestellt.
    Die Anforderung wurde abgelehnt.” erhalten, so können Sie versuchen die Uhrzeit auf Ihrem Server auf das Datum vor dem Ablauf des Zertifikates zurückzusetzen. In einigen Fällten konnte so dieses Problem umgangen werden.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum sowie dem neuen Hashwert sehen können. Überprüfen Sie dies jedoch bitte zusätzlich noch durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmt, müssen Sie gegebenenfalls im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

 

Variante 3:

Sollten die beiden Varianten nicht funktionieren, so können Sie noch einen Assistenten starten. Gehen Sie dazu wie folgt vor:

  • Starten Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt KonnektivitätSBS2011 Konsole Konnektivität
  • Führen Sie unter Tasks den Punkt Beheben von Netzwerkproblemen aus
    Beheben von Netzwerkproblemen
  • Überprüfen Sie dass der Haken bei Das selbst ausgegebene Zertifikat ist abgelaufen gesetzt ist und lassen Sie den Wizard durchlaufen

 

Sollten Sie einen Exchange 2007 oder einen Small Business Server 2008 im Einsatz haben, dann schauen Sie einmal hier vorbei: msxfaq.de

 

9 Antworten auf „Abgelaufene Zertifikate am Small Business Server 2011 erneuern“

  1. Danke! Variante 2 hat mir für das normale Zertifikat weitergeholfen. Wie erneuere ich denn das Root Zertifikat des SBS 2011? Das läuft in den nächsten Monaten aus. Auf dem Root Cert ist kein Erneuern” Befehl verfügbar.

  2. Die Frage muß ich noch präzisieren: das SBS-interne Root Zertifikat muß erneuert werden und gleichzeitig sollte auch SHA1 entfernt werden.
    Eine Zusatzfrage wäre, wie kann ich ein öffentliches Zertifikat installieren ohne intern alles umstellen zu müssen. Historisch bedingt lauten interne DNS und AD Domain anders als extern. D.h. für internen Betrieb wird weiterhin ein internes Zertifikat benötigt, weil die öffentlichen CA’s ja keine internen Namen mehr ausstellen. Also wie macht man das genau, haben Sie da vielleicht Informationen? Vielen Dank nochmals!

  3. Hallo Wolfgang,
    vielen Dank für deine Rückmeldung. Freut mich, dass die Variante 2 bei Dir funktioniert hat.
    Wie man hier das Root Cert erneuert/verlängert, dazu werde ich am besten eine seperate Anleitung erstellen, das ist dann vielleicht am einfachsten.
    Bzgl. des Zertifikates, hier gibt es spezielle SSL Zertifikate bei deren man mehrere Adressen (interne z.B. sbs2011.contoso.local und Externe z.B. remote.contoso.de ) angeben kann: https://www.psw-group.de/ssl-zertifikate/#ucc mit der Firma PSW habe ich persönlich gute Erfahrunge gemacht, die stehen auch gerne für technische Fragen immer zur Verfügung.

    Gruß Thomas

  4. Hallo Thomas
    Leider haben wir das Problem, dass bei uns keine der Möglichkeiten funktioniert. Der Assistent vom SBS sowie vom IIS laufen in einer Endlosschleife ohne eine Fehlermeldung anzuzeigen.
    Es ist auch nicht möglich im IIS ein neues Zertifikat anzulegen.

    Hast du dafür evtl auch eine Lösung?

    Vielen Dank schon mal im Voraus.

    Gruß Lars

    1. Hallo Lars,

      also das Problem hatte ich zumindest selbst so noch nicht gehabt.
      Um welche Version des SBS handelt es sich hierbei?
      Läuft der SBS sonst ohne Fehlermeldungen, also auch im Ereignisprotokoll?
      Kannst du die Zertifizierungsstelle starten und läuft hierzu der Dienst?

      Gruß Thomas

  5. Hallo Thomas
    Also es handelt sich um ein SBS 2011.
    Das Ereignisprotokoll bemängelt nur ein WSUS Fehler sowie, der Exchangefehler, dass das Zertifikat abgelaufen ist.
    Ja die Zertifizierungsstelle kann ich starten und der Dienst läuft.

    Leider sind meine Kenntnisse bzgl Zertifikate sehr gering 🙂 bis dato hat der Assistent das immer erstklassig erledigt 😉

    Gruß
    Lars

    1. Hallo Lars,

      ok, ich habe mir da evtl. einen Hinweis im Ereignisprotokoll erhofft.

      Sind in der Zertifizierungsstelle unter “Ausstehende Anforderungen” sowie “Fehlgeschlagene Anforderungen” Einträge vorhanden?

      Gruß Thomas

  6. Hallo Thomas
    Nein die sind leider beide leer. Also ohne Eintrag

    Der Assistent kann mit abbrechen auch abgebrochen werden. Er hängt sich also nicht auf sondern befindet sich anscheinend in einer Endlosschleife.

    Gruß
    Lars

  7. Hallo Thomas,
    danke schon mal für die ausführliche Ausführung. Leider hänge ich jetzt bei dem Fehler: “Die Zertifikatsanforderung wurde an die Online-Zertifizierungsstelle gesendet, das Zertifikat jedoch nicht ausgestellt.
    Die Anforderung wurde abgelehnt.” fest. Dein Vorschlag die Windows Zeit zu ändern scheitert daran, das es sich von selber immer wieder umstellt. Natürlich habe ich einen NTP eingerichtet, aber ich finde gerade keine Möglichkeit die autom. Einstellung für kurze auszuschalten… Das ganze auf die interne CMOS umzustellen (https://support.microsoft.com/de-de/help/816042/how-to-configure-an-authoritative-time-server-in-windows-server) brachte auch nichts. Vielleicht hast du da eine Idee. Ich bitte daher kurz um deine Hilfe. Grüße Patrick

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere