Exchange 2013: Abgelaufene Zertifikate und Service Pack 1 (Vorsicht!)

Bei der Installation des Service Pack 1 für Exchange 2013 kann es unter Umständen zu einem bösen Fehler kommen. Ursache sind abgelaufene Zertifikate die von Exchange Diensten verwendet werden. Ein Leser hat mich auf das Problem hingewiesen und ich konnte es in einer Testumgebung nachstellen. Hier die Details:

Bei der Überprüfung der Voraussetzungen ist noch alles in Ordnung, es werden keine Warnungen oder Fehler angezeigt:

1

Die Installation startet und bricht bei Schritt 10 von 18 mit folgender Fehlermeldung ab:

Abgelaufene Zertifikate

Im Setup Fenster des SP1 kann nur noch auf „beenden“ geklickt werden, dann landet man wieder auf dem Windows Desktop. Aus der Fehlermeldung kann schon entnommen werden, dass ein Zertifikat abgelaufen ist. Das wirklich gemeine ist aber, dass weder das Exchange Admin Center (EAC) noch die Exchange Management Shell (EMS) nach dem fehlgeschlagen Update starten.

Die EMS bringt folgende Fehlermeldung:

AUSFÜHRLICH: Verbindung mit EX1.frankysweb.local wird hergestellt.
New-PSSession : [ex1.frankysweb.local] Beim Verbinden mit dem Remoteserver "ex1.frankysweb.local" ist folgender Fehler
aufgetreten: Der WinRM-Client kann die Anforderung nicht verarbeiten. Der Inhaltstyp der HTTP-Antwort vom Zielcomputer
kann nicht ermittelt werden. Der Inhaltstyp fehlt oder ist ungültig. Weitere Informationen finden Sie im Hilfethema
"about_Remote_Troubleshooting".
In Zeile:1 Zeichen:1
+ New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Microsoft.Excha ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
   gTransportException
    + FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

4

EAC zeigt nur eine IIS-Fehlermeldung an:

Laufzeitfehler 
Beschreibung: Anwendungsfehler auf dem Server. Aufgrund der aktuellen benutzerdefinierten Fehlereinstellungen für diese Anwendung können die Details des Anwendungsfehlers (aus Sicherheitsgründen) nicht remote angezeigt werden. Sie können jedoch von Browsern angezeigt werden, die auf dem lokalen Server ausgeführt werden. 

Details: Sie können die Details dieser Fehlermeldung auf dem lokalen Computer anzeigen, indem Sie ein -Tag in der Konfigurationsdatei web.config erstellen, die sich im Stammverzeichnis der aktuellen Webanwendung befindet. Das mode-Attribut dieses -Tags sollte dann auf "Off" festgelegt werden.

Laufzeitfehler 
Beschreibung: Anwendungsfehler auf dem Server. Aufgrund der aktuellen benutzerdefinierten Fehlereinstellungen für diese Anwendung können die Details des Anwendungsfehlers (aus Sicherheitsgründen) nicht remote angezeigt werden. Sie können jedoch von Browsern angezeigt werden, die auf dem lokalen Server ausgeführt werden. 

Details: Sie können die Details dieser Fehlermeldung auf dem lokalen Computer anzeigen, indem Sie ein -Tag in der Konfigurationsdatei web.config erstellen, die sich im Stammverzeichnis der aktuellen Webanwendung befindet. Das mode-Attribut dieses -Tags sollte dann auf "Off" festgelegt werden.

3

Ich konnte dieses Problem in einer VM nachstellen, bei dem das Zertifikat, welches den Exchange Diensten zugeordnet war, abgelaufen ist. Das Problem ist nur: Wie ändert man das Zertifikat ohne EAC oder EMS?!

Der einfachste Weg ist wohl, das Zertifikat einfach zu löschen, es ist ja eh abgelaufen. Das Zertifikat lässt sich per MMC entfernen:

10

Um das Zertifikat zu löschen, fügt man in der MMC das „Zertifikate“ Snap-In hinzu und verbindet es mit dem lokalen Computer. Unter „Eigene Zertifikate“ werden dann die entsprechenden Zertifikate angezeigt. Hier lässt sich das Zertifikat identifizieren, welches abgelaufen ist. In meiner Testumgebung sind das zwar alle, aber nur das markierte, ist den Exchange Diensten zugeordnet.

Nachdem das Zertifikat gelöscht wurde, muss das Exchange 2013 Service Pack 1 Setup neugestartet werden. Das Setup erkennt eine unvollständige Installation und setzt das Setup fort:

11,

Jetzt läuft auch das Setup durch. EAC und EMS starten wieder. Nach dem Setup muss ein neues Zertifikat für die Exchange Dienste ausgestellt werden, wie ein Zertifikat von einer internen CA für Exchange 2013 ausgestellt werden kann, habe ich hier beschrieben:

https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca/

Bevor also das SP1 für Exchange 2013 installiert wird, sollte geprüft werden ob alle Zertifikate gültig sind.

2 Kommentare zu “Exchange 2013: Abgelaufene Zertifikate und Service Pack 1 (Vorsicht!)”

    1. Hallo,
      doch das Zertifikat ist abgelaufen, denn meine Testumgebung ist der Zeit weit voraus. Dort schreiben wir bereits das Jahr 2020 :-)
      Ich hatte zur Demonstration das Datum geändert…

      Gruß, Frank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.