Certificate Assistant jetzt auch für Exchange 2013 und Server 2012 R2

Letzten Montag hatte ich eine überarbeitete Version des Exchange Certificate Assistant veröffentlicht. Die letzte Version unterstützte bisher nur Exchange 2016 auf Windows Server 2016. Mit der jetzigen Version wird nun auch Windows Server 2012 R2 und Exchange 2013 unterstützt. Neu ist auch die Möglichkeit die Benachrichtigungsmails mit Authentifizierung am SMTP Server zu verschicken. Außerdem wurden ein paar kleinere Probleme behoben und das Logging verbessert.

Im Archiv finden sich nun 2 Ordner- Der Ordner Exchange 2013 enthält logischerweise das Script für Exchange 2013, der Ordner Exchange 2016 entsprechend das Script für Exchange 2016:

Certificate Assistant

Wie gehabt müssen innerhalb des Scripts die ersten paar Zeilen angepasst werden:

Certificate Assistant

Der Task zum Erneuern des Zertifikats muss nach wie vor manuell angelegt werden. Ich denke, dass werde ich auch so beibehalten. Ich finde es schöner, wenn man selbst bestimmen kann, wann das Zertifikat ausgetauscht wird. Im oben verlinkten Artikel ist beschrieben, wie der Task zum Erneuern angelegt werden kann. Der nächsten Version werde ich eine kleine Anleitung beilegen.

Es fehlt jetzt also noch die Unterstützung für Exchange 2010 und Server 2008 R2. Ich installiere jetzt erst einmal eine neue Testumgebung für Exchange 2010.

Hier noch der Link für den Download der aktuellen Version:

Wenn es Probleme mit dem Script gibt, könnt ihr gerne das Logfile zuschicken. Nur so kann ich das Script verbessern und Fehler beheben.

67 Replies to “Certificate Assistant jetzt auch für Exchange 2013 und Server 2012 R2”

  1. Leider funktioniert das Ganze nicht so richtig…
    Die Logdatei sagt, dass alles ok ist.., aber in der Exchange Zertifikatsübericht wir das neue Zertifikat (SAN123456789) als ungültig angezeigt.
    Als Austeller ist nicht Lets Encrypt Auth.. X3 angegeben, sondern Fake LE Intermediate X1..
    An was könnte es liegen?

  2. Hallo zusammen, bei mir steht auch Fake LE Intermediate X1, habe ich da jetzt was falsch gemacht ?

  3. Hallo Stephan, Hallo Matthias,

    der Fehler liegt im Script, ich habe vergessen das Script nach meinen Tests auf das produktive System von Let’s Encrypt umzustellen. Den Fehler habe ich bereits korrigiert. Bitte das Script noch einmal runterladen.
    Gruß,
    Frank

  4. Hallo Matthias

    Ich habe das Skript nochmals ausgeführt, alles funktioniert soweit bis auf das Zertifkat selbst dies wird nicht als Trustet erkannt. Der Aussteller ist bei mir: CN=Fake LE Intermediate X1 Status: Invalid CN=mail.rysa.ch
    Hast du noch anpassungen durchgeführt ?

  5. Hallo Stephan,
    ich habe die Variable $DetermineExchangeFQDNs auf $false gesetzt und die $CustomFQDNs manuell angegeben.

    Ein anderes Problem hat sich bei mir eröffnet… In der Produktivumgebung benutzen wir einen routbaren Domainnamen (Win Domäne), soweit so gut, aber wir besitzen diesen nicht. Unser Exchangeserver ist intern erreichbar unter exc1.firma.de, da ich aber exc1.firma.de von außen nicht zum Exchangeserver routen kann, kann ich auch kein DNSNamen für exc1.firma.de im Zertifikat erstellen lassen von LE.
    Weißt du, ob es möglich ist das Ziel zum Exchangeserver zu ändern, z.b. in exc1.company.de?

  6. Beim Ausführen bekomme ich leider den folgenden Fehler:
    Certificate;Error;Failed to submit the certificate for signing;Der Zugriff auf den Pfad „C:\ProgramData\ACMESharp\sysVault\45-KEYPM\4c529[…]195-key.pem“ wurde verweigert.

    Ich habe zuvor das ACMESharp Modul komplett deinstalliert, sodass das Skript dies noch einmal selbst durchführen kann.
    Betreiben einen Exchange Server 2013 CU 15 auf eine Windows 2012 R2 Server. Das Skript selbst habe ich auf dem Server als Administrator ausgeführt.
    Bitte um Hilfe!

  7. Hallo Frank,

    tolles Script – vielen Dank dafür! Deine Arbeit hat mir bisher sehr viel Zeit und Mühe gespart.

    Ich habe denselben Fehler wie David: „*key.pem Zugriff verweigert.“. Deinem Link nach soll man EFS umgehen, indem man ein „custom vault profile“ erstellt („BypassEFS = $true“). Da ich Win2016 Server einsetze, kann ich kaum glauben, dass dies richtig ist?!?

    PS: „abgelaufene EFS Wiederherstellungszertifikate“? Wo stehen die? Ich habe in meinem Konsolenstamm (Computerkonto \ Lokaler Computer \ eigene Zertifikate) keine gefunden.

    PPS: die voherige Version Deines CertificateAssistant lief ohne Probleme.

  8. Hallo,

    läuft das ganze auch als kombination Exchange 2016 und Windows 2012R2?

    Gruss Dragan

  9. Hallo Frank,

    ich bin wie immer begeistert. Es funktioniert besser als Schweizer Uhr ;)
    Wurde das eigentlich auch mit dem Remote Desktop Gateway vom Windows 2012R2 funktionieren?

    Gruß Dragan

  10. Hallo Frank,

    Ich bekomme leider immer eine Fehlermeldung beim Erstellen vom Zertifikat:

    Certificate;Error;Failed to submit the certificate for signing;Unexpected error
    +Response from server:
    + Code: Forbidden
    + Content: {
    „type“: „urn:acme:error:unauthorized“,
    „detail“: „Error creating new cert :: authorizations for these names not found or expired: subdomain.domain.de“,
    „status“: 403}

    Liegt meine Vermutung richtig, das Let’s Encrpyt die „Authentifizierung“ für die Domäne nicht nachvollziehen kann? Also nicht auf die URL zugreifen kann? Wenn ja woran kann es liegen, über http und https ist der Server erreichbar.

    Gruß

    Nils

  11. Hallo Dragan,
    ich denke schon, du müsstest das Script dann etwas anpassen und die Exchange Bestandteile durch entsprechende RDS-Funktionen ersetzen.
    Gruß,
    Frank

  12. Hallo Frank,

    Ich habe bei deinem Script am Ende folgenden Fehler:
    Failed to Submit the certificate for signing, der Zugriff auf den Pfad „C:\ProgramData\AcmeSharp\sysVault\45-KEYPM\…..pem“ wurde verweigert.
    Habe ich etwas übersehen?
    Grüße Stefan

  13. Hallo,

    heute wurde ja schon die Wildcard Zertifikatsfunktion von Lets Encrypt vorgestellt.
    Wirst du auch dafür das Script demnächst noch anpassen?

    Besten Dank für deine bisherige Arbeit,
    Klaus

  14. Hallo Klaus,
    bisher ist das ACMESharp PowerShell Modul noch nicht kompatibel zum ACMEv2 Protokoll. Sobald das Modul kompatibel ist, werde ich den Certificate Assistant natürlich auch anpassen.
    Gruß,
    Frank
    PS: Ganz automatisch wird dies allerdings nicht funktionieren, da Wildcard Zertifikate nur via DNS Validierung ausgestellt werden, die HTTP Validierung entfällt.

  15. Hallo Frank,
    ich versuche gerade den neuen Zertifikats-Assistenten für Exchange 2013 (Server 2012R2) zum laufen zu bringen.
    Ich habe das Skript mit Admin-Rechten gestartet und erhalte als letzte Ausgabe die Fehlermeldung:

    18.03.2018 18:15:34;Certificate;Info;Try to create the certificate;
    18.03.2018 18:15:34;Certificate;Warning;Using smail.ksmedizintechnik.de as certificates CN;
    18.03.2018 18:15:34;Certificate;Error;Failed to create the certificate SAN180320181815;Unable to find an Identifier for the given reference

    Kannst Du oder die Community mir helfen?

    Vielen Dank im Voraus!

    Liebe Grüße
    Michael

  16. Hallo Frank,

    Vielen Dank für das Skript, funktioniert perfekt. Ich hatte bei mir zunächst auch das EFS-Problem, es war, wie Tielman Cortez auch schon festgestellt hat, ein Zertifikat das 2010 (!) abgelaufen ist, von einem alten Server 2003 SBS, das noch in der GP hing.
    Danach lief das Skript ohne Probleme.
    Allerdings fehlt mir ein SAN in meinem Zertifikat, das ich nun gerne um diesen FQDN erweitern würde. Beim Ausführen des Skripts bleibt dies bei „Error – Failed to submit the certificate for signing“ stehen, wohl weil ja schon ein gültiges Zertifikat vorhanden ist. Wie kann ich das Thema lösen? Für eine Hilfe wäre ich dankbar. Ich habe schon alles mögliche gesucht, wie „revoke letsencrypt certificate“, aber ohne brauchbaren Hinweis…
    Vielen Dank und Viele Grüße,
    Stefan Fischer

  17. Servus,
    habe den selben fehler wie Nils.
    Gibt es dafür schon eine Lösung oder einen Grund woran das Problem liegt?

  18. Moin moin,
    danke zunächst mal für das tolle Tool. Leider bricht es bei uns mit dem folgenden Fehler ab:
    04.04.2018 18:13:59;Certificate;Error;Failed to submit the certificate for signing;Unexpected error
    +Response from server:
    + Code: Forbidden
    + Content: {
    „type“: „urn:acme:error:unauthorized“,
    „detail“: „Error creating new cert :: authorizations for these names not found or expired: remote.unseredomain.de“,
    „status“: 403
    }
    Irgend eine Idee?
    Danke schon mal Vorab und viele Grüße aus Köln/Bonn

  19. Moin nochmal,
    wir haben jetzt folgendes probiert:
    1. Manuell einen entsprechenden Account bei Letsencrypt erstellt und die Daten in das Script eingetragen. Dann haben wir das Script erneut gestartet und nun bekommen wir einen anderen Fehler:
    04.04.2018 18:42:51;Certificate;Info;Try to create the certificate;
    04.04.2018 18:42:51;Certificate;Warning;Using remote.xxxxxx.de as certificates CN;
    04.04.2018 18:42:51;Certificate;Error;Failed to create the certificate SAN0404xxxxx842;Unable to find an Identifier for the given reference
    Gerne schicke ich auch den kompletten Logfile.
    Viele Grüße

  20. Hi Frank,
    funktioniert dein Script auch für Server 2012 ohne R2 mit Exchange 2013?
    Gruß Sascha

  21. Hallo zusammen,

    erstmal vielen Dank an Franky für das tolle Script, ich hatte schon die alte Version im Einsatz auf Windows 2012R2/Exchange 2013. Den Stoplerstein mit dem abgelaufenen Administrator Zertifiktat beim EFS Problem musste ich auch meistern. Danach hat alles geklappt!

    Was mir noch auffällt: Bei allen meinen Connectoren (Senden und Empfangen) wurde das neue Zertifikat nicht aktiviert. Auch wenn man mittels

    Get-ExchangeCertificate
    $cert = Get-ExchangeCertificate -Thumbprint „12345abcd“
    $TLSCert = (‘’+$cert.issuer+‘’+$cert.subject)
    Set-SendConnector -Identity „xxxxxxxxxxxx“ -TLSCertificateName $TLSCert

    Versucht das Zertifikat entsprechend zu binden kommt eine Fehlermeldung, (sinngemäß) dass keine Änderung erfolgt ist, weil das Zertifikat identisch ist…
    Tatsächlich war aber noch das alte Zertifikat gebunden. Das liegt wohl daran, dass die Namen „issuer“ „CN=Let’s Encrypt…“ identisch sind.

    Ich habe dann erst ein anderes internes Zertifikat mit entsprechendem Thumbprint gebunden, das hatte geklappt und dann in einer zweiten Runde das neue Lets Encrpyt mit neuem Thumbprint. Dann war alles OK.

    Wenn dieses Problem sich irgendwie automatisieren lassen würde, wären wir einen Schritt weiter.

  22. ist es ein Problem wenn der Hostname z.B srv3-exchange und der primäre DNS Suffix xx-firmay.local lautet?
    Kann ich einfach mit den $DetermineExchangeFQDN auf false setzten und die externe Adresse eintragen?

    Sobald ich unser rootcert der internen CA auf die Rechner einspiele geht auch das Autodiscovery. Server ist ein EX2013

    LG

  23. Hallo,
    das Script hat bisher perfekt funktioniert jedoch nach Installation von OfficeOnlineServer (16.0.8471.8525) schlägt das Script immer fehl. Der Fehler ist reproduzierbar. Nach Deinstallation und reboot funktioniert das Script wieder.

    Hier die betreffenden Logeinträge:
    02.05.2018 10:37:06 – Exchange FQDNs – Info – Make them unique
    02.05.2018 10:37:06 – Exchange FQDNs – Info – FQDNs are unique
    02.05.2018 10:37:06 – Check Vault – Info – Lets check if exists a vault
    Get-ACMEVault : Cannot deserialize the current JSON object (e.g. {„name“:“value“}) into type
    ‚ACMESharp.AcmeServerDirectory‘ because the type requires a JSON array (e.g. [1,2,3]) to deserialize correctly.
    To fix this error either change the JSON to a JSON array (e.g. [1,2,3]) or change the deserialized type so that it is a normal .NET type (e.g. not a primitive type like integer, not a collection type like an array or List) that can be deserialized from a JSON object. JsonObjectAttribute can also be added to the type to force it to deserialize from a JSON object.
    Path ‚Entity.ServerDirectory.init‘, line 19, position 13.
    In C:\CertificateAssistant\CertificateAssistant_v2_EX2016.ps1:446 Zeichen:10
    + $Vault = Get-ACMEVault
    + ~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Get-ACMEVault], JsonSerializationException
    + FullyQualifiedErrorId : Newtonsoft.Json.JsonSerializationException,ACMESharp.POSH.GetVault

    02.05.2018 10:37:07 – Check Vault – Warning – No vault found, let’s create one
    02.05.2018 10:37:07 – Check Vault – Error – Can’t create vault, exiting script
    [PS] C:\CertificateAssistant>

  24. So habe nun das Script ausgeführt. Nun habe ich das Problem das ich im Outlook eine Zertifikats Fehlermeldung bekomme.
    Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht überein. (es geht um das serversrv03.xx-xxxxxx.local)
    Wenn der Client im Lokalen Netzwerk ist. Das ist das Lets Encrypt Zertifikat das auf mail.xx-xxxxx.com ausgestellt wurde verbunden. Wie behebe ich das?

  25. Hallo Frank!

    Ist es denn geplant die Execution Policy AllSigned zu unterstützen?
    Er bricht mir jedes Mal ab, wenn er ein neues Script laden muss das nicht signiert ist.

    z.B.: Load ACMEModule;Error;ACMEModule is installed, but can’t load it

    Ich muss hier hin und das Skript suchen und signieren. wäre gut wenn er irgendwie die Signatur vom Hauptskript übernehmen würde.

  26. Hi Frank,

    Been trying to get your new script working. Unfortunaltly I Always end with an error:
    Certificate;Error;Failed to submit the certificate for signing;Access to the path ‚C:\ProgramData\ACMESharp\sysVault\45-KEYPM\0802f4ba-16fe-4804-b377-9c6adba87e59-key.pem‘ is denied.

    I deleted the entire ACMESharp folder. It’s being recreated the next time I run the script, but the error stays..

  27. Guten Morgen,

    ich kriege den folgenden Fehler beim Ausführen des Skripts:

    29.05.2018 08:27:22;Certificate;Error;Failed to submit the certificate for signing;Unexpected error
    +Response from server:
    + Code: Forbidden
    + Content: {
    „type“: „urn:acme:error:unauthorized“,
    „detail“: „Error creating new cert :: authorizations for these names not found or expired: autodiscover.*****.de, outlook.*****.de“,
    „status“: 403
    }

    Kann hier jemand helfen?

    ACMESharp Ordern habe ich schon neu erstellen lassen.

    Vielen Dank!

    Gruß
    Daniel

  28. @Daniel
    Bei mir bestand der Fehler, weil beide Domains lokal UND extern nicht auf den lokalen Exchange gezeigt haben.

  29. Hallo,

    ich erhalte beim Ausführen des Script den Fehler:
    Failed to create the certificate SAN0406201239.. ;Unable to find an Identifier for the given reference

    Im Log für die Powershell steht genauer
    Fehlermeldung = Unable to find an Identifier for the given reference
    Vollqualifizierte Fehler-ID = System.Exception,ACMESharp.POSH.NewCertificate

    Kann Hier jemand Helfen??

    Beste Grüße Alex

  30. Ich habe auch den Fehler. Gibt es dazu was neues?

    05.05.2018 19:46:10;Certificate;Warning;Using remote.xxxxxx.de as certificates CN;
    05.06.2018 19:46:10;Certificate;Error;Failed to create the certificate SAN0404xxxxxxxx;Unable to find an Identifier for the given reference

    Gruss

    Flo

  31. Hallo Frank,

    habe jetzt erst bemerkt, daß es ja eine neuere Version gibt, ich hatte noch die v1.1 getestet – danke erst mal für das Update, ich hoffe es funktioniert bei mir auch.
    Ein Frage: hast du dich schon einmal mit CSRDetails beschäftigt? Es wäre schon nett, wenn das Zertifikat nicht nur funktioniert, sondern darin auch Eigentümer-Informationen stehen würden

    lg Harold

  32. Hallo Frank,

    Danke danke für deine tollen HowTOs. Habe sie schon immer verwendet und werde es auch weiterhin machen. Das kleine Skript ist gar nicht mal ohne, hilft bestimmt auch viel weiter, wenn es denn nicht wie bei den Vorrednern Daniel usw. abbrechen würde.

    Error creating new cert :: authorizations for these names not found or expired: autodiscover.company, webmail.company.de“, „status“: 403}

    Hat hier denn schon jemand ne Lösung gefunden? Oder seh ich grade den Wald vor lauter Bäumen nicht mehr.
    Vielleicht hat ja einer noch ne Lösung parat oder
    @Frank kann ich dir gerne mal das ganze Log schicken. Vielleicht überseh ich da noch was.

    Zur Info:
    Ich habe auch eine UTM am laufen. (also Fritz –> 80+443 –> UTM–> 80+443 –>Ex01
    ich hoffe damit kommt nicht der Fehler zustande…

    Ich hoffe mal, nicht alle sitzen bei dem schönen Wetter draußen und jemand liest das :)

    Grüße
    Michael

  33. Hallo Frank,
    Super Script. Funktioniert bei mir auf EXC2016.
    Hast du dich schon mal mit der DNS-API beschäftigt?
    Bin mir nicht sicher ob es ACMESharp überhaupt unterstützt, acme.sh tut es.
    Der Vorteil bei dieser Methode ist, es muss kein Port 80 offen sein und es können auch non-Public Subdomain Einträge im Zertifikat stehen, da LE gegen einen TXT Record im DNS prüft.

  34. Hi Franky,
    ich erhalte folgende Meldung im Log:
    Es ist nicht möglich, einen Index auf ein NULL-Array anzuwenden.

    LG

  35. Hallo Frank,

    auch meinerseits viel Lob und Respekt vor dem was du hier leistest; ich denke, ohne Deinen ausführlichen Block wären viel am verzweifeln und sind stets dankbar für qualifizierte HowTos.

    Leider erhalte ich dasselbe Problem wie oben durch Michael beschrieben.

    Error creating new cert :: authorizations for these names not found or expired: autodiscover.company, mail.company.de“, „status“: 403}

    Konnte das Problem bereits adressiert werden? Ich bin langsam am verzweifeln. Über positives Feedback würde ich mich sehr freuen.

    Liebe Grüße
    Felix

  36. @Felix

    bei mir tauchte der Fehler im Zusammenhang mit dem internen und externen DNS auf.
    Intern wie auch Extern müssen die DNS einträge noch auf den lokalen Exchange zeigen.

    Gruß,

    Marcel

  37. Hi Franky,

    ich hatte den Fehler mit dem EFS-Zertifikat und diesen behoben, nun kommt allerdings das nächste Problem:
    +Response from server:
    + Code: Forbidden
    + Content: {
    „type“: „urn:acme:error:unauthorized“,
    „detail“: „Error creating new cert :: authorizations for these names not found or expired: meine-DNS-Einträge“,
    „status“: 403
    }

    An was kann das nun liegen?
    Grüße
    Eric

  38. @Marcel,

    wie meinst Du das?
    Wo zeigen die denn sonst hin, wenn nicht auf den Exchange-Server?

    Grüße
    Eric

  39. Hallo Frank

    Auch von mir ein herzliches Dankeschön für das super Script, das zwar nach einigen Anlaufschwierigkeiten super läuft. Nachdem nun auch die ‚automatische‘ Erneuerung mir das Mail geschickt hat, dass das Zertifikat erneuert wurde, hab ich aber gesehen, dass immer noch das ‚alte‘ Zertifikat online ist.
    Das Script (CertificateAssistant_v2_EX2013.ps1 auf Win2012R2 mit Exch2013) läuft ohne Fehler durch, das Zertifikat wird generiert und auch im Exchange unter Zertifikate eingetragen.
    Einzig im Exchange-IIS-Manager muss ich da noch bei ‚Default Web Site‘ unter ‚Bindungen bearbeiten‘ das neue Zertifikat bei den https-Einträgen auswählen. Dies geht nicht automatisch.

    Ist das korrekt das dies noch manuell gemacht werden muss oder hab ich noch einen Fehler drin?

  40. @Marcel:
    Ich habe auch eine UTM hinter einer Fritzbox, allerdings habe ich die UTM als DMZ laufen, d.h. der gesamte Traffic landet auf der UTM. Ich greife von intern wie auch extern auf den selben DNS-Namen zu, allerdings wird über die UTM die IP von intern verbogen, so dass der Traffic nicht nach draußen geht. Bei der ersten Erstellung des Zertifikates hat auch alles funktioniert, nur jetzt leider nicht mehr. Ich laufe immer wieder auf den gleichen Fehler auf. Ich habe innerhalb des Zertifikates 3 Domains eingetragen und sämtliche Hosts, also im Grunde ein SAN-Zertifikat für meine 3 Domains. Wie gesagt bei der Ersterstellung hat alles funktioniert.

    Grüße
    Eric

  41. Hallo Frank,

    wollte mich nur bedanken! Bin sehr zufrieden!
    Habe es erfolgreich im 2016er und im 2010er Exchange (auf SBS) und am laufen :-)

  42. Hallo Frank,

    super Beitrag und gutes Skript, leider läuft es immer wieder in einen Fehler,
    ich habe schon versucht den Fehler zu finden.. leider habe ich keinen weiteren
    Ansatz was falsch sein könnte. Fehler im log, letzter Eintrag:

    04.10.2018 14:08:39;Certificate;Error;Failed to submit the certificate for signing;Unexpected error
    +Response from server:
    + Code: Forbidden
    + Content: {
    „type“: „urn:acme:error:unauthorized“,
    „detail“: „Error creating new cert :: authorizations for these names not found or expired: autodiscover.beispiel.de, mail.beispiel.de“,
    „status“: 403
    }

    Viele Grüße

    Frank

  43. Hi, habe den gleichen Fehler wie Frank sagt: 4. Oktober 2018 um 14:14
    „type“: „urn:acme:error:unauthorized“,
    „detail“: „Error creating new cert :: authorizations for these names not found or expired: autodiscover.beispiel.de, mail.beispiel.de“,
    „status“: 403

  44. Die Sache mit dem „authorizations for these names not found or expired“ hängt definitiv mit dem Zugriff zusammen. Habe heute nach einem Gateway cockup dann erfolgreich aktualisieren können.

  45. Franky habe folgendes gefunden:
    Submitted by spanmo on Wed, 07/12/2017 – 16:20
    Comment
    #5
    this is due to a bug in acme-tiny. package is updated already. short-term fix: update line 81 in /usr/share/webmin/webmin/acme_tiny.py:
    common_name = re.search(r“Subject:.*? CN ?= ?([^\s,;/]+)“, out.decode(‚utf8‘))
    (via https://github.com/diafygi/acme-tiny/issues/167)
    Log in or register to post comments

  46. Hallo Franky

    +1 für den Fehler mit
    30.10.2018 14:07:00;Certificate;Error;Failed to submit the certificate for signing;Unexpected error
    +Response from server:
    + Code: Forbidden
    + Content: {
    „type“: „urn:acme:error:unauthorized“,
    „detail“: „Error creating new cert :: authorizations for these names not found or expired: be-sr-2013.beckert.ads“,
    „status“: 403
    }
    Ist mir klar, für einen internen fqdn hab ich und kann ich mich nicht autorisieren.

    Any Hints?

  47. Hallo Franky,

    ich habe einen Exchange 2013 und komme einfach nicht weiter. Ich habe alle externe URL im exs der öffentliche Domäne konfiguriert, der Autodiscover steht noch auf der internen Adresse. Das Skript läuft ohne Fehler durch, nur am Ende sagt er dass das Zertifikat nicht erstellt werden kann. Gibt es noch etwas was ich übersehen habe ?

    ….
    08.11.2018 08:58:18 – Exchange FQDNs – Info – Make them unique
    08.11.2018 08:58:18 – Exchange FQDNs – Warning – Unroutable Domains were found, sorted out
    08.11.2018 08:58:18 – Exchange FQDNs – Info – FQDNs are unique
    08.11.2018 08:58:18 – Check Vault – Info – Lets check if exists a vault
    08.11.2018 08:58:18 – Check Vault – Info – Vault found
    08.11.2018 08:58:18 – Check Registration – Info – Lets check if exists a LE registration
    08.11.2018 08:58:18 – Check Registration – Info – Found registration
    08.11.2018 08:58:19 – ACME Identifier – Info – Successfully updated ACME Identifier for Cert Alias Cert081120180858-1
    08.11.2018 08:58:20 – ACME Challange – Info – Completed ACME Challenge for Alias Cert081120180858-1
    08.11.2018 08:58:20 – IIS – Info – Changing Let’s Encrypt IIS directory to http
    08.11.2018 08:58:21 – IIS – Info – Successfully changed Let’s Encrypt IIS directory to http
    08.11.2018 08:58:21 – IIS – Info – Checking Let’s Encrypt IIS directory to accept validation by http request
    08.11.2018 08:58:21 – IIS – Info – .well-known directory accepts http
    08.11.2018 08:58:21 – LE Challange – Info – Try to submit challenge
    08.11.2018 08:58:22 – LE Challange – Info – Submitted challenge for Alias Cert081120180858-1
    08.11.2018 08:58:22 – LE Challange – Info – Try to submit challenge
    08.11.2018 08:58:22 – LE Challange – Info – Updated Identifier for Alias Cert081120180858-1
    08.11.2018 08:58:22 – Certificate – Info – Try to create the certificate
    08.11.2018 08:58:22 – Certificate – Warning – Using XXXXXXXXX.de as certificates CN
    08.11.2018 08:58:22 – Certificate – Error – Failed to create the certificate SAN081120180858

  48. Hi Luka,
    currently there are no plans to translate the script to english. There are only a few german words, maybe you can do it by yourself using google translator.
    Kinds regards,
    Frank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.