Es gibt immer wieder diese Momente, in denen ich merke, dass ich noch nicht alles gesehen habe, was Exchange Server betrifft. In diesem Fall geht es um die Authentifizierungs-Zertifikate von Exchange Server.
In einer Exchange Server 2019 DAG waren auf jedem der beiden Server zwei “Microsoft Exchange Server Auth Certifcate”-Zertifikate vorhanden, wie der folgende Screenshot zeigt.
Der “NotBefore”-Zeitstempel, der die Ausstellungszeit des Zertifikates beschreibt, der beiden Zertifikate liegt nur knapp dreineinhalb Minuten auseinander.
Was war passiert?
Das Exchange OAuth-Zertifikat
Das Exchange Server Auth-Zertifikat mit dem Namen “Microsoft Exchange Server Auth Certificate” ist ein selbstsigniertes TLS-Zertifikat, das durch das Setup von Exchange Server automatisch erstellt wird. Dieses Zertifikat ist eines selbstsignierten und organisationsweiten Zertifikate. Das Zertifikat erscheint in der Übersicht der Zertifikat als aktiviert für den Dienst SMTP, jedoch wird es nicht für die E-Mail-Zustellung verwendet. Die Dienstaktivierung stellt vielmehr sicher, dass Exchange Server selbst auf das Zertifikat und den privaten Schlüssel zugreifen kann.
Das Auth-Zertifikat ist für Exchange Server eines der zentralen Zertifikate zur ABsicherung des Zugriffs und hat Auswirkungen auf die browserbasierten Anmeldung an ECP und OWA und wirkt sich ebenso auf doe Exchange Management Shell aus. Es ist wichtig darauf zu achten, dass das Zertifikat nicht abläuft.
Als organisationsweites Zertifikat wird es durch Exxchange Server selbst innerhalb der Exchange Organisation verteilt. Es muss nicht exportiert oder importiert werden. Die automatische Verteilung funktioniert jedoch nur dann, wenn die Kommunikation zwischen den Exchange Server Systemen nicht durch eine Netzwerk-Firewall blockiert wird. Aber das ist ein Thema für einen anderen Blogartikel.
Im vorliegenden Fall musste das Auth-Zertifikat erneuert werden.
Man folgte den in der Online-Dokumentation beschriebenen Schritten zur Verwaltung des Zertifikates und hat das Zertifikat auf dem ersten Server neu ausgestellt und in den Auth-Einstellungen referenziert. In der Annahme, dass man diese Schritteauf jedem Server ausführen muss, wurde auf dem zweiten Exchange Server ein zweites neues Auth-Zertifikat erstellt und ebenfalls in den Auth-Einstellungen referenziert.
Die Auth-Einstellungen (Get-/Set-AuthConfig) gelten organisationsweit. Denn alle Exchange Server sollen gleichermaßen in die Lage versetzt werden, eine OAuth-Authentifizierung durchführen zu können. Hierzu gehört nicht nur die Authentifizierung von anderen On-Premises Servern, wie SharePoint oder Skype for Business, sondern auch die hybride Server-zu-Server-Authentifizierung von Exchange Online oder den Teams Backend-Diensten zu Exchange Server.
Mit Hilfe des Cmdlets Get-AuthConfig konnte der Fingerabdruck (Thumbprint) des aktuell referenzierten Auth-Zertifikates ermittelt werden. Das überflüssige Auth-Zertifikat wurde gelöscht.
Links
Viel Spaß mit Exchange Server.