Excahnge(2013)の証明書の再バインド

更新日 2018-01-08 (月) 09:53:08

Exchange CUのアップデートの途中で有効日付が切れた証明書がありアップデートできなかった。それでExchangeのサービスを別の証明書変更したが、これを行うと以下のようなことが起こった。以前の証明書の認証局CAのときのFSMOサーバを入れ替えており、そのCAの移行をしていなかった。再度Exchangeサーバの自己認証に戻した。

  • 管理センターに接続すると、ログイン後画面がエラーもなく真っ白になり何も表示しなくなった。
  • Exchange Management Shellで、Exchangeに接続できなくなった。

この問題解決に年越しになった(2017-2018)

その時の記録。仮想マシンなので、アップデート前のスナップショットを取っていたので失敗を繰り返すがそのたび戻して試行錯誤やWebで検索。

証明書の変更方法

Exchange Management Shellを起動

  • 証明書の確認
[PS] C:\Windows\system32>Get-ExchangeCertificate

Thumbprint                                Services   Subject
----------                                --------   -------
39C04555700B469D932FFBD053BCD30FBECFF5C0  IP.WS..    CN=vmwin2012r2.vmw.ism21.net
F0457B5AECA5FAA67324884257BF6FD0EEA4940A  ....SF.    CN=Federation
57FA2B97C6EF32062B1679C6DC1455091F282763  ....S..    CN=Microsoft Exchange Server Auth Certificate
FB74EF8A12DB35FEA8DE89C2137FBB475C30105B  IP..S..    CN=VMWIN2012R2
9FDF140D3CCD600DE74D75D1C69AA1654E48F9C4  .......    CN=WMSvc-VMWIN2012R2  ←ここにサービスを変更
361F006EFE693A837F96E5D2B4C2B48BAE63032C  IP.WS..    CN=VMWIN2012R2.vmw.ism21.net ←これが期限切れの証明書 削除するもの
  • サービスの変更(サービスは無効化や削除はできない)
[PS] C:\Windows\system32>Enable-ExchangeCertificate -Thumbprint 39C04555700B469D932FFBD053BCD30FBECFF5C0 -Service IIS
[PS] C:\Windows\system32>Enable-ExchangeCertificate -Thumbprint 39C04555700B469D932FFBD053BCD30FBECFF5C0 -Service IMAP
[PS] C:\Windows\system32>Enable-ExchangeCertificate -Thumbprint 39C04555700B469D932FFBD053BCD30FBECFF5C0 -Service POP
[PS] C:\Windows\system32>Enable-ExchangeCertificate -Thumbprint 39C04555700B469D932FFBD053BCD30FBECFF5C0 -Service SMTP
  • 期限切れの証明書の削除
[PS] C:\Windows\system32>Remove-ExchangeCertificate -Thumbprint 361F006EFE693A837F96E5D2B4C2B48BAE63032C

確認
この操作を実行しますか?
コンピューターの証明書ストアから拇印 361F006EFE693A837F96E5D2B4C2B48BAE63032C  を含む証明書を削除しますか?
[Y] はい(Y)  [A] すべて続行(A)  [N] いいえ(N)  [L] すべて無視(L)  [?] ヘルプ (既定値は "Y"): Y
  • 削除を確認
[PS] C:\Windows\system32>Get-ExchangeCertificate

Thumbprint                                Services   Subject
----------                                --------   -------
49FD0BD9952DE91CD580F16D05104AFCB44A3DC9  IP.WS..    CN=VMWIN2012R2
39C04555700B469D932FFBD053BCD30FBECFF5C0  IP.....    CN=vmwin2012r2.vmw.ism21.net
F0457B5AECA5FAA67324884257BF6FD0EEA4940A  ....SF.    CN=Federation
57FA2B97C6EF32062B1679C6DC1455091F282763  ....S..    CN=Microsoft Exchange Server Auth Certificate
FB74EF8A12DB35FEA8DE89C2137FBB475C30105B  IP..S..    CN=VMWIN2012R2
9FDF140D3CCD600DE74D75D1C69AA1654E48F9C4  .......    CN=WMSvc-VMWIN2012R2

管理センター(GUI)でもできる。

  • 再起動

この状態で、問題のように管理センター(ECP)には接続できない、Exchange Management ShellでExchangeに接続できなくなる

IISマネージャで再バインド

CU6からIISマネージャできるようだ。

以下のようにサイトのExchange Back Endのバインド設定で、444ポートのSSL証明書にサービスを変更しいた証明書を選択しバインドすると管理センター(ECP)には接続でき、Exchange Management ShellでExchangeに接続できるようになる。

証明書再バインド.png

その後CU14→CU18

Exchangeのアップデート開始。

  • CU18をDL
  • 適当なフォルダに実行解凍
  • SetUpを実行

Active Directory 証明書サービスによる証明書認証

  • 認証依頼のファイル作成はすべてデフォルト
  • Active Directory 証明書サービスでの発行時の証明書テンプレートは「Webサーバ」を選択
  • Exchangeでのサービスの割当は完了時はIMAPとPOPになっていたので、IISを追加する
  • IISマネージャで再バインドと同じように444ポートも新しい証明書にバインド

Exchangeの証明書.png

参考

以下のページに解決策があり、大変感謝しています。


添付ファイル: fileExchangeの証明書.png 79件 [詳細] file証明書再バインド.png 87件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-01-08 (月) 09:53:08 (682d)