Exchange Server Zertifikat abgelaufen – Das Sicherheitszertifikat ist abgelaufen oder noch nicht gültig

Bei wem das Exchange Server Zertifikat abgelaufen ist, der braucht sich keine Sorgen zu machen. Es kann ganz einfach verlängert werden. Ich zeige Euch hier wie und wo.

Exchange Server Zertifikat abgelaufen mit der Fehlermeldung in Outlook - Das Sicherheitszertifikat ist abgelaufen oder noch nicht gültig

Exchange Server Zertifikat abgelaufen mit der Fehlermeldung in Outlook – Das Sicherheitszertifikat ist abgelaufen oder noch nicht gültig

Exchange Server Zertifikat abgelaufen – Erstell Dir doch ein neues!

Wem beim Öffnen von Outlook die Fehlermeldung “Das Sicherheitszertifikat ist abgelaufen oder noch nicht gültig” begegnet, der sollte seinem Admin sagen, dass er das (SBS) Server Zertifikat erneuern soll. Ich zeige Euch wie dies geht.

Öffnet zunächst den Internet Information Server (IIS) bzw. den Manager (Internetinformationsdienste-Manager), nach Möglichkeit wie im Screenshot zu sehen in der Version 7. Hier gilt es nun auf der Startseite des von uns ausgewählten Domain Controllers die Zertifikateverwaltung zu öffnen. Innerhalb dieses Fensters haben wir nun verschiedene Ablauf-Dati. An der Stelle müssen wir nun das Zertifikat erneuern. Wie dies geht funktioniert wie folgt:

  1. Geht auf Start > Alle Programme > Ordner Verwaltung > Klickt auf Internetinformationsdienste-Manager
  2. Ihr braucht das Plus-Zeichen gar nicht anzurühren, selektiert einfach den Domain Controller
  3. Geht in der rechten Seite (Startseite), im Hauptfenster auf Severzertifikate und klickt doppelt
  4. Das sich öffnende Fenster beinhaltet alle Zertifikate, die auf und für diesen Server ausgestellt sind. Konzentriert Euch auf die Spalte Ablaufdatum und sortiert danach
  5. Alle Zertifikate, die abgelaufen sind sollten erneuert werden. In meinem Fall war es nur eines. Es hatte in der Bezeichnung “WebServer” stehen (das für Exchange und im Übrigen auch für OWA – Outlook Web Access – gültig ist)
  6. Klickt rechts auf dieses abgelaufene Zertifikat und im Kontextmenü wie im Screenshot unten zu sehen auf Erneuern klicken
  7. Das sollte alles gewesen sein. Wenn es zu Problemen kommt, erstellen wir einfach ein neues Zertifikat. Lest dazu einfach unterhalb des Screenshots weiter
Exchange Server Zertifikat abgelaufen mit der Fehlermeldung in Outlook - Hier das Fenster Serverzertifikate mit Kontektmenü

Exchange Server Zertifikat abgelaufen mit der Fehlermeldung in Outlook – Hier das Fenster Serverzertifikate mit Kontektmenü

Ist das Exchange Server Zertifikat abgelaufen und Ihr könnt es nicht verlängern? Erstellt doch ein neues Exchange Zertifikat!

Sollte wie oben beschrieben die Erneuerung nicht funktionieren bzw. erhaltet Ihr folgende Fehlermeldung: “Die Zertifikatanforderung wurde an die Online-Zertifizierungsstelle gesendet, das Zertifikat jedoch nicht ausgestellt. Die Anforderung wure abgelehnt.” Dann können wir uns einfach ein neues Zertifikat erzeugen.

Exchange Server Zertifikat abgelaufen - Erneuerung funktioniert nicht

Exchange Server Zertifikat abgelaufen – Erneuerung funktioniert nicht

Das Erstellen eines neuen kostenlosen Exchange Zertifikates funktioniert wie folgt:

  1. Folgt oben den Punkten 1 bis 6, allerdings in Punkt 6 dann bitte auf Anzeigen klicken, nicht auf Erneuern
  2. Wählt nun das Registerkärtchen Details aus
  3. Scrollt herunter bis in der Spalte Feld der Zertifikatsvorlagenname erscheint und merkt Euch den Wert (hier: Webserver) – Siehe Screenshot
    Exchange Server Zertifikat abgelaufen - Hier erstellen wir das Zertifikat neu

    Exchange Server Zertifikat abgelaufen – Hier erstellen wir das Zertifikat neu

  4. Schließt dieses Fensterchen und klickt ganz rechts im Breich Aktionen auf Domänenzertifikat erstellen. Es wird der Gemeinsame Name abgefragt. Hier muss die URL für OWA eingetragen werden. Wir finden die URL im alten Zertifikat in der Übersicht in der Spalte Ausgestellt für. Die restlichen Felder sind selbsterklärend
  5. Nach Klick auf weiter muss nun die Online-Zertifizierungsstelle eingegeben werden. Mit Klick auf “Auswählen…” kann der Server direkt ausgewählt werden
  6. Für das Feld Anzeigename kann beliebig etwas für die Übersichtsseite ausgedacht werden. Ich empfehle aber etwas sprechendes wie zum Beispiel Exchange-OWA Zertifikat
  7. Nach Klick auf Fertig wird das WebServer-Zertifikat generiert und erscheint in der Übersicht

 Exchange Server Zertifikat abgelaufen – Nach Verlängerung bzw. Erstellung muss nun noch Outlook eingestellt werden:

Ein Zertifikat installiert man dauerhaft in Outlook wie folgt:

  1. Nach dem Start von Outlook erscheint der Dialog Sicherheitshinweis
  2. Hier gehen wir unten rechts auf Zertifikate anzeigen…
  3. Installiert Euch nun das fehlende Zertifikat

Eventuell muss der PC neu gestartet werden, bei mir war dies aber nicht nötig. Nach einem erneuten Öffnen von Outlook war die Fehlermeldung verschwunden.

Zertifizierungsstelle abgelaufen

Wenn das Zertifikat länger als zwei Jahre abgelaufen ist, zum Beispiel 3 oder mehr Jahre, kann es sein, dass der Assistent das Erneuern verweigert. Eine Fehlermeldung hindert Dich daran, die Erneuerung wie beschrieben durchzuführen.

Sollte das so sein, öffne die Systemeinstellungen und dann Verwaltung. Hier öffnest Du die Zertifizierungsstelle. Öffne mit der rechten Maustaste Deine Organisation und klicke auf Alle Aufgaben. Hier kann nun das Zertifizierungsstellenzertifikat erneuert werden. Denke daran, dass Du zunächst den Active Directory (AD) Zertifikatsdienst stoppen musst, sonst funktioniert das ganze nicht.

7 Comments

  1. Hallo,
    ich habe heute nach dieser Anleitung das neue zertifikat erstellt und auch im Exchange dem neuen Zertifikat die jeweiligen Dienste zugewiesen. Allerdings taucht bei mir im Outlook immer noch das alte Zertifikat auf, welches allerdings nicht mehr existiert, sei es im IIS noch in der Exchange Console.
    Wo kann ich noch suchen?

    Reply
    • Hallo,

      1. Du musst Im IIS Manager unter Sites die –Default Web Site– makieren / rechtsklick und dann Bindungen bearbeiten auswählen.
      2. Dort makierst Du einzeln nach ein ander die Einträge mit — https– und klickst auf bearbeiten.
      3. Dort solltest Du unter SSL-Zertifikat ein dropdown Feld haben wo dein altes Zertifikat mit Namen steht.
      Du kannst Dir das aktuelle Zertifikat mit dem Anzeige Button anzeigen lassen.
      4. Wähle das Zertifikat aus welche Du neu erstellt hast. / Ich musste auch erst 2 mal hinschauen bis ich meins gefunden haben, da mit der Zertifikasname nur angeuzeigt wurde und nicht wie es Vorher war der url Pfad wie zb owa.domain.de sondern Exchange-OWA Zertifikat.
      5. Ok Drücken und schliessen.
      6. Webserver neustarten… oder die kiste einfach mal neu starten
      PS: über diesen weg könnt Ihr auch andere Bindungen bezüglich Webserver Zertifikate überprüfen und austauschen.

      Reply
  2. Hallo,

    erstmal Danke für die Anleitung! Hat alles gut geklappt, aber: Nachdem nun Outlook startet, erscheint die Meldung, daß “der name auf dem sicherheitszertifikat ist ungültig oder stimmt nicht”. Die Bindings habe ich alle erledigt, aber die Meldung kommt immer noch! Vielleicht noch jemand eine Idee?

    Reply

Leave a Comment.