Anleitung | M365 | Zertifikat für die App-Registrierung aktualisieren
Frage oder Herausforderung
Einer oder mehrere der folgenden Fehler sind bei der Managed E-Mail-Archivierung vorhanden:
Auf der Startseite werden folgende Meldungen angezeigt:
”Mindestens ein Zertifikat in der Anmeldeinformationsverwaltung ist abgelaufen.”
”Bei der letzten Ausführung eines oder mehrerer Archivierungsprofile ist ein Fehler aufgetreten.”Der Job “Verzeichnisdienst-Synchronisierung“ schlägt fehl. Beim Testen der Synchronisierung der Verzeichnisdienste kommt die selbe Fehlermeldung:
”MailStore Server konnte keine Benutzerliste von den Verzeichnisdiensten abrufen. ClientCertificateCredential authentication failed:”Ein Journaling-Job, bei dem die Synchronisierung mit den Verzeichnisdiensten angehakt ist, schlägt mit der folgenden Fehlermeldung fehl:
”MailStore Server was unable to retrieve a list of users from Directory Services.
ClientCertificateCredential authentication failed:”Ein Archivierungs-Job für M365 ist fehlgeschlagen, oder fehlerhaft durchgelaufen. Die Überprüfung der Ergebnisse gibt auf der untersten Ebene folgenden Fehler:
”A configuration issue is preventing authentication. […] The certificate with identifier used to sign the client assertion is expired on application. […]”Endkunden, bei denen der Verzeichnisdienst synchronisiert wird, können sich mit ihren M365-Credentials nicht mehr an ihrem Mailarchiv anmelden.
Lösung oder Antwort
Die Authentifizierung zur Entra ID findet mittels Zertifikat statt. Erstellte Zertifikate waren bei vorherigen Mailstore-Versionen ca. zwei Jahre gültig. Aktuell sind es ca. 10 Jahre.
Bei der Erstellung wird die genaue Gültigkeit angezeigt, ansonsten kann das Ablaufdatum auch in der App-Registrierung im Entra ID eingesehen werden.
Ist das Zertifikat abgelaufen, kann sich die Instanz nicht mehr mit dem Verzeichnisdienst synchronisieren. Auch die Anmeldung der Kunden am Archiv ist beeinträchtigt.
Falls in einem Archivierungs-Job die Synchronisierung mit dem Verzeichnisdienst angehakt ist, läuft dieser Job nach Ablauf des Zertifikats nicht mehr erfolgreich durch. In diesem Szenario werden keine E-Mails mehr über den betroffenen Job archiviert!
Um das Zertifikat zu tauschen, müssen folgende Schritte durchgeführt werden:
Im Mailstore-Client anmelden
Zu “Verwaltung”-->”Benutzer und Archive”-->”Verzeichnisdienste” navigieren
Ein neues Zertifikat herunterladen
Bei “Verbindung” neben den Anmeldeinformationen auf die drei Punkte klicken
Die aktuell verwendete Anmeldung auswählen und auf “Bearbeiten” klicken
Neben dem Zertifikat auf den Dropdown klicken, und “Zertifikat erzeugen…“ auswählen
Den Hinweis zum neuen Zertifikat bestätigen. Danach sollte schon das neue Ablaufdatum sichtbar sein
Nochmal auf den Dropdown klicken, und das Zertifikat herunterladen. Lokal abspeichern.
Das Fenster mit “OK” schließen und danach auf “Übernehmen” klicken, damit die Änderungen übernommen werden!
Entra ID aufrufen
“App-Registrierungen” auswählen, und unter “Alle Anwendungen” die passende Anwendung auswählen
In der Anwendung “Zertifikate & Geheimnisse“ aufrufen, oben in den Reiter “Zertifikate“ gehen
“Zertifikat hochladen” auswählen, die lokale Datei auswählen, ggf. eine Beschreibung hinzufügen und auf “Hinzufügen” klicken
Das alte Zertifikat kann aus der Anwendung entfernt werden
Nach weniger als einer Minute sollte das Zertifikat auf Seiten von Microsoft akzeptiert werden.
Im Mailstore-Client unter den Verzeichnisdiensten die Synchronisierung testen
Je nach Konfiguration die Synchronisierung durchführen, oder den Haken in einem der Archivierungs-Jobs wieder setzen
Das Zertifikat vom lokalen Gerät entfernen
Eventuell einen Reminder erstellen, um das Zertifikat vor dem neuen Ablaufdatum auszutauschen.
Weitere Artikel
Hier findest du weitere Artikel zu diesem Produkt.
Danke, dass du die SYNAXON Services Knowledge Base nutzt.
Bitte beachte die wichtigen Informationen zur Rechtsberatung im Haftungsausschluss auf folgender Seite: Rechtliches