Wie weise ich in Exchange 2016 IMAP/S und SMTP/S ein Zertifikat zu?

tag-icon tag-icon security exchange certificate imap
Wie weise ich in Exchange 2016 IMAP/S und SMTP/S ein Zertifikat zu?

Bitte beraten Sie mich, da ich mir alle Haare ausreiße.

Ich habe Exchange 2016 und möchte dem IMAP/S-Port 993/tcp und dem SMTP/S-Port 465/tcp ein offiziell signiertes Zertifikat zuweisen. Ich habe mehrere Konfigurationsoptionen durchgesehen, aber beim Überprüfen der Ports (mithilfe von nmap) zeigen beide Ports ein völlig anderes Zertifikat an. Ich verstehe jetzt nicht das ganze Konzept der Verwaltung von Exchange-Zertifikaten.

IMAP-Einstellung auf Exchange

[PS] C:\Windows\system32>Get-ImapSettings | fl

RunspaceId                        : 669149f3-c8f4-43af-b80c-3019ec26bd08
ProtocolName                      : IMAP4
Name                              : 1
MaxCommandSize                    : 10240
ShowHiddenFoldersEnabled          : False
UnencryptedOrTLSBindings          : {[::]:143, 0.0.0.0:143}
SSLBindings                       : {[::]:993, 0.0.0.0:993}
InternalConnectionSettings        : {mail.doamin.il:143:TLS, mail.domain.il:993:SSL}
ExternalConnectionSettings        : {mail.domain.il:993:SSL, mail.domain.il:143:TLS}
X509CertificateName               : mail.domain.il
Banner                            : The Microsoft Exchange IMAP4 service is ready.
LoginType                         : SecureLogin
AuthenticatedConnectionTimeout    : 00:30:00
PreAuthenticatedConnectionTimeout : 00:01:00
MaxConnections                    : 2147483647
MaxConnectionFromSingleIP         : 2147483647
MaxConnectionsPerUser             : 16
MessageRetrievalMimeFormat        : BestBodyFormat
ProxyTargetPort                   : 1993
CalendarItemRetrievalOption       : iCalendar
OwaServerUrl                      :
EnableExactRFC822Size             : False
LiveIdBasicAuthReplacement        : False
SuppressReadReceipt               : False
ProtocolLogEnabled                : False
EnforceCertificateErrors          : False
LogFileLocation                   : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Imap4
LogFileRollOverSettings           : Hourly
LogPerFileSizeQuota               : 0 B (0 bytes)
ExtendedProtectionPolicy          : None
EnableGSSAPIAndNTLMAuth           : True
Server                            : SERVER
AdminDisplayName                  :
ExchangeVersion                   : 0.10 (14.0.100.0)
DistinguishedName                 : CN=1,CN=IMAP4,CN=Protocols,CN=SERVER,CN=Servers,CN=Exchange Administrative Group (FYDIBO
                                    HF23SPDLT),CN=Administrative Groups,CN=SERVERADS,CN=Microsoft Exchange,CN=Services,CN=Configu
                                    ration, DC=domain,DC=ils
Identity                          : SERVER\1
Guid                              : c2bfe9aa-f252-419a-910d-62687592dc34
ObjectCategory                    : domain.ils/Configuration/Schema/ms-Exch-Protocol-Cfg-IMAP-Server
ObjectClass                       : {top, protocolCfg, protocolCfgIMAP, protocolCfgIMAPServer}
WhenChanged                       : 2024. 01. 23. 20:56:48
WhenCreated                       : 2021. 04. 29. 16:12:26
WhenChangedUTC                    : 2024. 01. 23. 19:56:48
WhenCreatedUTC                    : 2021. 04. 29. 14:12:26
OrganizationId                    :
Id                                : SERVER\1
OriginatingServer                 : DC.domain.ils
IsValid                           : True
ObjectState                       : Unchanged

Das Ergebnis von nmap.

[root@revenant ~]# nmap -p 993 --script ssl-cert mail.domain.il
Starting Nmap 7.92 ( https://nmap.org ) at 2024-01-23 22:09 CET
Nmap scan report for mail.domain.il (192.168.99.31)
Host is up (0.00027s latency).

PORT    STATE SERVICE
993/tcp open  imaps
| ssl-cert: Subject: commonName=*.domain.il/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Subject Alternative Name: DNS:*.domain.il
| Issuer: commonName=internal-ca/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2023-06-15T20:20:44
| Not valid after:  2028-06-13T20:20:44
| MD5:   ffc2 d46a f66e b7ee 8f2c 0468 4f39 f01e
|_SHA-1: 626d bfac d38c db8f 5ea9 d328 c42c d94a d9fe 09c1
MAC Address: 00:0C:29:0D:B3:C3 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

Zur Klarstellung: Ich habe zwei Zertifikate. mail.domain.il ist vom Truster Root Issuer signiert und *.domain.il ist von meiner internen Zertifizierungsstelle signiert.

Exchange OWA ist mit mail.domain.il in IIS konfiguriert und funktioniert gut, aber die EXCHANGE-Dienste möchten es nicht abrufen, oder ich weiß nicht, wie die Dienste entscheiden, wie sie arbeiten.

Enable-ExchangeCertificate -Server SERVER -Thumbprint 1KJ24JH12G41JKG41J23H4G12JKL3G -Services IIS,SMTP,POP,IMAPwurde mehrmals verwendet. Ich habe wirklich alles versucht, aber ich schaffe es nicht.

Bitte helfen Sie.

Antwort1

Sie können Diensten im Exchange Admin Center (EAC) oder in der Exchange-Verwaltungsshell Zertifikate zuweisen. Nachdem Sie einem Dienst ein Zertifikat zugewiesen haben, können Sie die Zuweisung nicht mehr entfernen. Wenn Sie ein Zertifikat für einen bestimmten Dienst nicht mehr verwenden möchten, müssen Sie dem Dienst ein anderes Zertifikat zuweisen und dann das Zertifikat entfernen, das Sie nicht verwenden möchten.

Beachten Sie, dass Sie dem IMAP4- oder POP3-Dienst kein Platzhalterzertifikat zuweisen sollten. Verwenden Sie stattdessen das Cmdlet Set-ImapSettings, um den vollqualifizierten Domänennamen (FQDN) zu konfigurieren, den Clients zum Herstellen einer Verbindung mit dem IMAP4-Dienst verwenden, und verwenden Sie das Cmdlet Set-PopSettings, um den FQDN zu konfigurieren, den Clients zum Herstellen einer Verbindung mit dem POP3-Dienst verwenden.

verwandte Informationen