Auf meinem Exchange-Server habe ich zwei CAS-Server in einem CAS NLB-Array. Ich muss auf beiden dieser Server ein SAN/UCC-Zertifikat eines Drittanbieters für OWA installieren. Ich habe die Anforderung auf CAS1 generiert, an eine öffentliche Zertifizierungsstelle übermittelt und auf dem CAS1-Server installiert. Ich habe auf dem CAS2-Server keine CSR generiert. Ich habe das Zertifikat aus CAS1 exportiert (mit dem privaten Schlüssel), bin zum CAS2-Server gegangen und habe es in CAS2 importiert. Das Zertifikat wird als auf CAS2 installiert angezeigt. Das Problem besteht darin, dass EMC „Das Zertifikat ist für die Verwendung auf dem Exchange-Server ungültig“ meldet und neben dem Zertifikat in EMC ein rotes „X“ anzeigt.
Ich habe versucht, es mit den Zertifikaten MMC und EMC aus CAS1 zu exportieren und beide zu verwenden, um es in den CAS2-Server zu importieren, aber ohne Erfolg. Ich habe versucht, das Zertifikat mit EMC und den Zertifikaten MMC zu entfernen, aber wenn ich es wieder importiere, erhalte ich immer noch die gleichen Ergebnisse. Ich habe sogar den gesamten Server aus einem Backup in einen früheren Zustand wiederhergestellt, bevor ich den Zertifikatimportprozess gestartet habe, aber ich habe die gleichen Ergebnisse erhalten. Da ich nach einer Wiederherstellung die gleichen Ergebnisse erhalten habe, befürchte ich, dass hier etwas anderes nicht stimmt. Ich kann auf das Zertifikat in EMC und in der Zertifikat-MMC doppelklicken und beide melden, dass das Zertifikat gültig ist, sodass die vertrauenswürdige Stammadresse funktioniert.
Ich wollte den lokalen Server-Zertifikatspeicher neu erstellen, aber ich würde denken, dass eine vollständige Wiederherstellung eines Servers den lokalen Server-Zertifikatspeicher in den vorherigen Zustand zurückversetzen würde. Werden in AD Zertifikatmetadaten für ein Computerobjekt oder genauer gesagt für Exchange-Serverobjekte verwaltet? Gibt es irgendwo eine Möglichkeit, herauszufinden, warum Exchange 2010 SP3 UR2 meldet, dass ein Zertifikat auf einem CAS NLB-Arrayknoten gültig ist, auf einem identischen Knoten jedoch nicht?
Antwort1
Bei vielen Zertifikatsanbietern müssen Sie das Zwischenzertifikat in den entsprechenden Ordner in der Zertifikatskonsole importieren. Haben Sie das bei CAS2 gemacht?