von

Wissen

Praxis-Artikel rund um Microsoft ADCS – alle frei verfügbar. Architektur, Härtung, ESC-Angriffsvektoren, Auto-Enrollment, HSM, Migration und Post-Quantum.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Quick Health Check deiner ADCS-Umgebung. CA-Hierarchie-Redesign, BSI-/NIS2-Härtung, HSM-Integration, Migration und Algorithmenwechsel.

Zur Beratung
Fachbücher

Mein Fachbuch zu PKI und Zertifikaten in modernen Microsoft-Umgebungen – ADCS-Architektur, Härtung, Templates, S/MIME, TLS, Codesigning und 47-Tage-Migration. Kompromisslos praxisnah. In Vorbereitung!

Zu den Büchern
Tools

CertBinder erneuert TLS-Zertifikate atomar über IIS, Exchange, SharePoint, ADFS, SQL Server, RDS und LDAPS hinweg. SMimeManager rollt S/MIME-Zertifikate für Exchange Online/Server sauber aus. Beide on-premises, einmalige Lizenz.

Tools ansehen
Schulungen

Online-Workshops zu ADCS, Härtung, ESC-Angriffsvektoren, Templates, Migration und Post-Quantum – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

Atomare TLS-Zertifikatserneuerung

Warum das gleichzeitige, fehlerfreie Umbinden aller Dienste das eigentliche Problem ist

Atomare TLS-Zertifikatserneuerung über IIS, Exchange, ADFS und Co.

Warum das Erneuern selbst das kleinste Problem ist — und das gleichzeitige, fehlerfreie Umbinden aller Dienste das eigentliche.

Kurzfassung vorab

Ein TLS-Zertifikat zu erneuern dauert dreißig Sekunden. Es danach überall dort einzubinden, wo es gebraucht wird — IIS, Exchange, ADFS, RDS Gateway, Windows Admin Center, SQL — ist der Teil, an dem Erneuerungen reihenweise scheitern. Die unbequeme Wahrheit: Jeder dieser Dienste bindet sein Zertifikat anders, und solange auch nur ein Binding vergessen wird oder die Umstellung nicht in einem Zug passiert, gibt es ein Zeitfenster, in dem etwas kaputt ist. Genau deshalb gehört die Zertifikatserneuerung in einen atomaren, überwachten Lauf mit Health-Check und Rollback — und nicht in eine handgepflegte Checkliste, die irgendwann unter Zeitdruck halb abgearbeitet wird.

Abb. 1: Ein erneuertes Zertifikat, viele Verbraucher mit je eigener Bindemechanik — der Kern des Problems.

1. Warum Erneuern und Binden zwei verschiedene Dinge sind

Die meisten Admins denken bei „Zertifikat erneuern“ an den Akt der Ausstellung: neuer CSR, neues Zertifikat aus der CA, fertig. Tatsächlich ist das der triviale Teil. Das neue Zertifikat liegt danach im Maschinenspeicher und tut — nichts. Erst wenn jeder Dienst, der TLS terminiert, explizit auf den neuen Thumbprint umgebogen wird, ist die Erneuerung wirklich durch. Und dieses Umbiegen ist bei jedem Dienst anders gelöst.

IIS bindet über Site-Bindings, die pro Host-Header und SNI-Eintrag einzeln gesetzt werden. Exchange verlangt Enable-ExchangeCertificate mit explizit benannten Diensten. ADFS will Set-AdfsSslCertificate plus einen Neustart des Dienstes, oft farmweit. RDS Gateway, Windows Admin Center und SQL Server haben jeweils wieder eigene Wege. Wer das von Hand macht, jongliert fünf verschiedene Mechaniken gleichzeitig — und genau da passieren die Fehler.

Info · Verweis

Wie die Erneuerung in eine größere Algorithmen- und Hash-Migration eingebettet wird, behandelt Spoke 4.2 „Algorithmenwechsel und Hash-Migration ohne Reissuance“. Die grundsätzliche Renewal-Strategie samt Auto-Enrollment steckt in Spoke 3.1.

 

2. Wo die Ausfallzeit wirklich entsteht

Der entscheidende Denkfehler bei der manuellen Erneuerung ist die Annahme, die Reihenfolge sei egal. Ist sie nicht. Sobald du IIS auf das neue Zertifikat umstellst, Exchange aber noch auf dem alten läuft, hast du einen Mischzustand. Clients, die in diesem Fenster verbinden, sehen je nach Dienst mal das neue, mal das alte Zertifikat — und wenn dazwischen eine Kette oder ein Thumbprint nicht passt, brechen Verbindungen ab.

Abb. 2: Das Inkonsistenz-Fenster bei manueller Umstellung gegenüber dem winzigen, kontrollierten Umschaltfenster eines atomaren Laufs.

„Atomar“ heißt in diesem Kontext nicht, dass physikalisch alles in derselben Millisekunde passiert — das geht über mehrere Dienste hinweg ohnehin nicht. Es heißt, dass die Umstellung als eine logische Einheit behandelt wird: Entweder alle Bindings stehen am Ende auf dem neuen Zertifikat, oder es wird komplett auf den alten Stand zurückgerollt. Es gibt keinen dauerhaften Halbzustand.

3. Jeder Dienst bindet anders

Hier liegt die eigentliche Komplexität, und sie ist der Grund, warum generische Anleitungen aus dem Netz selten funktionieren. Die folgende Übersicht zeigt, womit du es je Dienst zu tun hast — und wo die typischen Stolperfallen lauern.

Abb. 3: Bindemechaniken und Stolperfallen je Dienst — fünf Wege, fünf Fehlerquellen.

Die unterschätzte Falle: SNI-Bindings in IIS

Der Klassiker bei IIS: Eine Site hat nicht ein Binding, sondern mehrere — pro Host-Header, und bei aktiviertem SNI auch pro Hostname mit eigenem Zertifikatsverweis. Wer nur das offensichtliche 443-Binding umstellt und die SNI-Einträge übersieht, hat danach eine Site, die je nach angefragtem Hostnamen das alte oder neue Zertifikat ausliefert. Das fällt im schnellen Browsertest oft nicht auf, im Monitoring drei Wochen später dafür umso schmerzhafter.

Warnung · Klassische Falle

Der gefährlichste Moment ist der „letzte Dienst“. Du hast IIS, Exchange und ADFS sauber umgestellt, der Browsertest läuft, du hakst die Aufgabe ab — und vergisst das RDS Gateway, das nur einmal im Monat gebraucht wird. Drei Wochen später, am Freitagabend, will jemand remote rein und kommt nicht durch. Eine vollständige Binding-Inventur VOR der Erneuerung verhindert genau das.

 

4. Der atomare Erneuerungslauf in der Praxis

Ein belastbarer Erneuerungslauf folgt immer demselben Muster: erst das neue Zertifikat verifizieren, dann alle betroffenen Bindings inventarisieren, dann in einem Zug umstellen, danach jeden Dienst aktiv prüfen — und bei einem Fehler komplett zurückrollen. Der Health-Check am Ende ist der Schritt, der „läuft hoffentlich“ von „verifiziert“ trennt.

Abb. 4: Der atomare Erneuerungslauf mit Health-Check und automatischem Rollback als Sicherheitsnetz.

Mit PowerShell lässt sich der erste, wichtigste Schritt abbilden: eine Inventur, welche Bindings auf welchem Thumbprint stehen. Erst wenn du das vollständig hast, kannst du überhaupt atomar umstellen. Das folgende Skript sammelt die TLS-Bindings aus IIS und Exchange und zeigt, welche noch auf dem alten Zertifikat hängen:

PowerShell

# — Schritt 1: Thumbprints des alten und neuen Zertifikats festhalten —

$alt = 'A1B2C3…' # Thumbprint des ablaufenden Zertifikats

$neu = 'D4E5F6…' # Thumbprint des frisch ausgestellten Zertifikats

 

# — IIS: alle HTTPS-Bindings auflisten und Thumbprint vergleichen —

Import-Module WebAdministration

Get-ChildItem IIS:\SslBindings | ForEach-Object {

[PSCustomObject]@{

Binding = $_.PSChildName

Thumbprint = $_.Thumbprint

Status = if ($_.Thumbprint -eq $neu) { 'aktuell' }

elseif ($_.Thumbprint -eq $alt) { 'ALT – umstellen' }

else { 'fremd – prüfen' }

}

} | Format-Table -AutoSize

 

# — Exchange: welche Dienste hängen am alten Zertifikat? —

Get-ExchangeCertificate | Where-Object { $_.Thumbprint -eq $alt } |

Select-Object Thumbprint, Services, NotAfter

 

# — ADFS: aktuell gebundenes SSL-Zertifikat anzeigen —

Get-AdfsSslCertificate | Select-Object HostName, PortNumber, CertificateHash

 

Der bewusste Verzicht auf ein „und jetzt stellt das Skript alles automatisch um“ an dieser Stelle ist Absicht. Die Inventur ist das, was du in jeder Umgebung gefahrlos laufen lassen kannst. Die eigentliche Umstellung samt Health-Check und Rollback ist der Teil, der so heikel ist, dass er ein robustes, getestetes Werkzeug verdient — nicht ein zusammenkopiertes Skript aus einem Forenbeitrag.

5. Monitoring und der Tag vor dem Ablauf

Die beste Erneuerung ist die, die nicht unter Druck passiert. Dafür brauchst du zwei Dinge: ein verlässliches Inventar aller Zertifikate samt Ablaufdatum und Bindungsort, und eine Vorwarnung, die früh genug greift. Wer erst gewarnt wird, wenn das Zertifikat in drei Tagen abläuft, plant die Erneuerung zwangsläufig in die Randzeiten — genau dann, wenn bei einem Fehler niemand erreichbar ist.

Mein Rat aus der Praxis: Warnung bei 30 Tagen Restlaufzeit, harte Eskalation bei 14 Tagen, und die Erneuerung grundsätzlich in einem geplanten Wartungsfenster mit Health-Check. Wer das atomar und überwacht fährt, macht aus einem Freitagabend-Notfall einen Dienstag-Vormittag-Routinevorgang.

Praxis-Tipp · Aus dem Beratungsalltag

Lass den Health-Check nicht nur prüfen, ob der Dienst startet, sondern ob er das RICHTIGE Zertifikat ausliefert. Ein TLS-Handshake gegen den Endpunkt mit Vergleich des Server-Thumbprints gegen den Soll-Wert fängt genau die Fälle, in denen ein Dienst zwar läuft, aber stillschweigend noch das alte Zertifikat präsentiert.

 

Praxis-Beispiel: Trendforge Digital GmbH

Die Trendforge Digital GmbH, ein cloud-affines Tech-Scaleup mit rund 400 Mitarbeitern, betrieb on-prem noch eine Handvoll Dienste mit internen TLS-Zertifikaten: ein IIS-Reverse-Proxy, eine Exchange-Hybridanbindung und ein ADFS für die Föderation mit Partnern. Die Zertifikate wurden zweimal im Jahr von Hand erneuert — und zweimal im Jahr gab es einen Vorfall, weil ein Binding vergessen wurde.

Der letzte Auslöser war ein abgelaufenes ADFS-Zertifikat, das die Partner-Föderation für einen halben Tag lahmlegte, weil die Erneuerung freitags spätabends gemacht und das farmweite Binding auf dem zweiten Knoten übersehen wurde. Wir haben den gesamten Erneuerungsprozess auf einen atomaren Lauf umgestellt: vollständige Binding-Inventur, Umstellung aller Dienste in einem überwachten Vorgang, Health-Check per Handshake gegen jeden Endpunkt und automatischer Rollback. Seitdem läuft die Erneuerung in einem geplanten Vormittagsfenster, dauert Minuten statt eines nervösen Abends — und die halbjährlichen Vorfälle sind weg.

 

Verwandte Themen

  • Pillar: Active Directory Certificate Services — der komplette Leitfaden → /adcs-leitfaden/
  • Spoke 4.2: Algorithmenwechsel und Hash-Migration ohne Reissuance → /adcs-hash-migration/
  • Spoke 3.1: Auto-Enrollment konfigurieren — Templates, GPO, Troubleshooting → /adcs-auto-enrollment/
  • Spoke 6.5: ACME für ADCS — Add-ons und Bridge-Lösungen im Vergleich → /adcs-acme/

    •  

    Häufige Fragen (FAQ)

    Was bedeutet atomare Zertifikatserneuerung konkret?

    Dass die Umstellung aller Dienste auf das neue Zertifikat als eine logische Einheit behandelt wird: Am Ende stehen entweder alle Bindings auf dem neuen Zertifikat, oder es wird komplett zurückgerollt. Es gibt keinen dauerhaften Mischzustand, in dem ein Teil der Dienste schon umgestellt ist und ein anderer noch nicht. Genau dieser Mischzustand ist die Hauptquelle von Ausfällen.

    Warum reicht es nicht, das Zertifikat einfach in der CA zu erneuern?

    Weil das erneuerte Zertifikat danach nur im Maschinenspeicher liegt und von keinem Dienst genutzt wird. Jeder TLS-terminierende Dienst — IIS, Exchange, ADFS und so weiter — muss explizit auf den neuen Thumbprint umgebogen werden. Erst dieses Umbinden macht die Erneuerung wirksam, und es ist bei jedem Dienst anders gelöst.

    Welcher Dienst macht bei der Erneuerung die meisten Probleme?

    Erfahrungsgemäß IIS wegen der SNI- und Host-Header-Bindings, die einzeln gesetzt werden und gern übersehen werden, sowie ADFS wegen des farmweiten Bindings und des nötigen Dienstneustarts. Der gefährlichste Dienst ist aber immer der, der selten gebraucht wird — etwa ein RDS Gateway —, weil sein vergessenes Binding erst Wochen später auffällt.

    Brauche ich für atomare Erneuerung zwingend ein Werkzeug?

    Die Inventur der Bindings kannst du gefahrlos mit PowerShell selbst erledigen. Die eigentliche atomare Umstellung mit Health-Check und automatischem Rollback ist dagegen so heikel und dienstübergreifend, dass ein robustes, getestetes Werkzeug die Fehlerquote drastisch senkt. Zusammenkopierte Skripte ohne Rollback sind hier ein Risiko.

    Wie früh sollte ich vor dem Ablauf gewarnt werden?

    Eine erste Warnung bei 30 Tagen Restlaufzeit und eine harte Eskalation bei 14 Tagen haben sich bewährt. Das verschafft genug Vorlauf, um die Erneuerung in ein geplantes Wartungsfenster zu legen, statt sie unter Zeitdruck in die Randzeiten zu schieben, in denen bei einem Fehler niemand erreichbar ist.

    Wie prüfe ich nach der Umstellung, ob wirklich alles passt?

    Nicht nur kontrollieren, ob die Dienste laufen, sondern ob sie das richtige Zertifikat ausliefern. Ein TLS-Handshake gegen jeden Endpunkt mit Vergleich des präsentierten Thumbprints gegen den Soll-Wert deckt die Fälle auf, in denen ein Dienst zwar startet, aber stillschweigend noch das alte Zertifikat zeigt.

     

    Nächste Schritte mit boddenberg.de

    Wenn deine TLS-Erneuerung regelmäßig in einen nervösen Abend mit halb umgestellten Diensten ausartet, ist das kein Zufall, sondern ein Prozessproblem. Es lässt sich sauber lösen:

    ADCS-Health-Check · Standortbestimmung deiner bestehenden PKI — inklusive einer vollständigen Inventur, welche Dienste an welchen Zertifikaten hängen und wo Bindings übersehen werden.

    Architektur- oder Redesign-Workshop · Vom Ist-Zustand zur Zielarchitektur — hier fokussiert auf einen verlässlichen, atomaren Erneuerungsprozess mit Health-Check und Rollback.

    Implementierungs- oder Migrationsbegleitung · Beratung und technische Unterstützung beim Umsetzen — von der Binding-Inventur bis zum überwachten Erneuerungslauf im Wartungsfenster.

     

    Passend zum Thema

    Genau den atomaren Erneuerungs- und Umbinde-Vorgang über IIS, Exchange, ADFS und weitere Dienste — mit Health-Check und Rollback — automatisiert CertBinder aus der boddenberg.de-Toolfamilie. Das ist das Werkzeug für den Teil, den man nicht von Hand machen will.

    Mehr zum großen Bild rund um PKI-Betrieb steht im in Arbeit befindlichen Buch „PKI und Zertifikate in modernen Microsoft-Umgebungen“.

     

    Kontakt: Uli Boddenberg · boddenberg.de · Dortmund