ziggymania – Exchange 20xx - Zertifikat erneuern bzw. neues ausstellen

Exchange Server

Exchange Server 20xx Zertifikat erneuern bzw. neues ausstellen:

Mehrere Möglichkeite zur Erneuerung bzw. zum Neuerstellen des Zertifikates beim Exchange-Server:

EMC: --> Serverkonfiguration

oder meiner bevorzugte Vorgehensweise über MMgmt-Shell:

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

entsprechendes Zertifikat bzw. Thumbprint auswählen zum Erneuern bzw. Erstellen des neuen Zertifikates.

get-exchangecertificate -thumbprint "<Thumbrint aus der o.a. Zeile>" | new-exchangecertificate

Prüfen, ob Zertifiakt angenommen bzw. installiert wurde:

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

oder per EMC:

abgelaufenes Zertifikat

Das neue Zertifikat ist noch zu aktivieren und im IIS freischalten:

enable-exchangecertificate -thumbprint "<Thumbrint aus der o.a. Zeile>" -services IIS

Der Vollständigkeit halber wird noch das alte abgelaufene Zertifikat abschliessend gelöscht:

remove-ExchangeCertificate –Thumbprint „<Thumbprint des abgelaufenen Zertifikates>“

Das Ergebnis:

finish with new certificate

Für die Verteilung innerhalb des Active - Directories wird abschliessend noch das neue Zertifikat verteilt über eine GPO:
Das erstellte Zertifikat aus der IIS-Management-Konsole in eine Datei exportieren
Anschliessende eine neue Richtlinie erstellen und in den Pfad Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen wechseln.

GPOJPG

Federation Trust Zertifikat erneuern:

Zertifikate anzeigen lassen:

Get-ExchangeCertificate

Verbundszertifikate anzeigen lassen:

Get-FederationTrust | fl Org*cert*
Test-FederationTrustCertificate | fl

Variable erzeugen für das Neuausstellen des Zertifikates:

$ski = [System.Guid]::NewGuid().ToString("N")

Neues Zertifikat erstellen:

New-ExchangeCertificate -FriendlyName "Microsoft Federation Gateway" -DomainName fzb.intern -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

Prüfen auf das neue Zertifikat:

Get-ExchangeCertificate

Neues Zertifikat für die Verbundsverrauensstellung konfigurieren:

Get-FederationTrust | Set-FederationTrust -Thumbprint <THUMBPRINT_des_neuen_ZERTIFIKATES>

alte(s) Zertifikate(e) löschen:

Remove-ExchangeCertificates -Thumbrint <THUMBPRINT_des_neuen_ZERTIFIKATES>

schlägt dies fehl, weil das Zertifiakt schon abgelaufen ist muss die Verbundsvertrauensstellung aufgelöst werden:

Remove-FederationTrust "Microsoft Federation Gateway"

Im Anschluss wieder die o.g. Befehlsstruktur weiderholen und prüfen:

Test-FederationTrustCertificate