Ablaufende Zertifikate erneuern

March 22, 2018 in windows ‐ 2 min read

In eine Windows Domäne habt ihr eine Zertifizierungsstelle (PKI) über welche die Zertifikate der Domäne generiert und verteilt werden. Im Idealfall warnt euch euer Monitoring System BEVOR eure Zertifikate ablaufen…

Dieser Artikel soll beschreiben, wie diese Zertifikate erneuert werden können und was ihr macht, wenn das nicht funktioniert.

Umsetzung

MMC -> Sanp-In “Zertifikate” hinzufügen -> Computerkonto auswählen -> Lokalen Computer wählen

image

Wenn ihr hier nicht fündig werdet dann schaut im snap-in “Zertifizierungsstelle” bei den ausgestellten Zertifikaten nach.

image

Am Leichtesten bekommt Ihr den überblick wenn ihr nach Ablaufdatum sortiert.

Wenn es sich um ein gekauftes Zertifikat handelt, dann muss ein neues Zertifikat vom Provider, wie z.B. DomainFactory oder GoDaddy, angefordert werden und anschließend auf dem Server hinzugefügt werden.

Zu Beachten sind dann Dienste wie IIS und Exchange wo das Zertifikat zusätzlich eingebunden werden muss, damit es verwendet werden kann.

Wenn es sich um ein Domänen Zertifikat handelt und die Zertifizierungsstelle richtig konfiguriert ist kann über Rechtsklick auf das Zertifikat -> Alle Aufgaben -> Zertifikat mit neuem Schlüssel erneuern…

Den anweisungen des Assistenten folgen und nach Fertigstellung in Diensten wie IIS und Exchang überprüfen ob die Zertifikats-Informationen aktualisiert wurden

Sollte die Zertifizierungsstelle diesen Vorgang nicht akzeptieren dann am besten über die IIS-Verwaltungskonsole ein neues Domänenzertifikat erstellen:

IIS-Verwaltungskonsole -> Server markieren -> Doppelklick auf Serverzertifikate

image

Wenn das Zertifikat noch nicht abgelaufen ist, wählt das Zertifikat mit einem Rechtsklick aus und geht auf erneuert. Wählt dann die CA aus bei der das Zertifikat angefordert wurde und verlängert es.

Falls das Zertifikat bereits abgelaufen ist, müsst Ihr ein neues erstellen. In der Mitte des Fensters Rechtsklick -> “Domänenzertifikat erstellen…” auswählen

image

Wichtig ist auf der ersten Seite das erste Feld “Gemeinsamer Name” hier wird der Name gefordert wofür das Zertifikat verwendet wird. Wenn es ein Zertifikat für z.B. WSUS sein soll mus hier der Servername drinn stehen wie er auch von den Clients benutzt wird als

Servername.Domäne.local

Wenn eure Domäne cortoso.lan ist und der Server den Hostname DC01 habt, müsstet Ihr bei Gemeinsamer Name “DC01.cortoso.lan” eingeben. Das wird gerne vergessen und führt dann zum Zertifikats-Fehler.

Anschließend das neue Zertifikat in den Bindungen der einzelnen Seiten Einstellen und IIS-Dienst neustarten.

Nach der Erneuerung des Zertifikates muss noch das alte Zertifikat aus dem Lokalen Zertifikatsspeicher entfernt werden, andernfalls schlägt das Monitoring weiter an, weil ein abgelaufenes Zertifikat gefunden wird.

Bei selbsterstellten Domänen-Zertifikaten kann auch die Zertifizierungsstelle zu Rate gezogen werden.

MMC > Zertifizierungsstelle > Ausgestellte Zertifikate

image

Über die Verwendete Vorlage und den Antragsteller lassen sich Rückschlusse auf Zweck des Certs schließen. Wenn es nicht mehr benötigt wird löschen, ansonsten verlängern.

Cheers, Ori