Superstruppi 13 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Hallo, ich finde viele Infos, aber leider keine gesammelten über öffentliche, sprich kaufbare SSL Zertifikate. Wir haben mehere Subdomains, unter anderem mail.unseredomäne.at, die wir in Zukunft auch für Push über HTTPS auf aktuelle Nokia Handys verwenden möchten. Nun habe ich folgende Anbieter von Wildcard-Certificates, die für alle Subdomänen gültig sind, gefunden: Verisign: kein Preis über Wildcard-Zerts angegeben Thawte: $ 799,- pro Jahr Certificates for Exchange: $ 199,- pro Jahr Digicert: $ 445,- pro Jahr RapidSSL: $ 199,- pro Jahr; angeblich in 99% aller Browser installiert WildcardCertificates.COM: $ 276,- pro Jahr TrustCenter: $ 769,- pro Jahr InstantSSL: $ 449,95,- pro Jahr; angeblich in 99,3% aller Browser installiert TrustWave: $ 599,95 pro Jahr GoDaddy: $ 179,90 pro Jahr; von MSExchangeFAQ empfohlen... Die Versicherungswerte sind natürlich unterschiedlich. Die sind uns allerdings ziemlich egal; wir möchten nur die ewigen Hinweismeldungen beim Aufruf unserer Webseiten vermeiden u. den Push-Dienst von/auf unseren Exchange 2007 anbieten. Frage: Kennt ihr noch weitere Zertifizierungsstellen, die auf den meisten handelsüblichen Geräten bereits installiert sind? Eventuell günstigere? Ich höre immer wieder davon, dass es soo günstige Zertifiakte geben soll, aber welche wären das zum Beispiel. Freu mich über jeden Tipp/Link, usw.!! Besten Dank u. viele Grüße, mario Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Achtung: Wildcardzertifikate funktionieren z.B. mit Windows Mobile nicht richtig. Was du brauchst ist ein SAN-Zertifikat, das mehrere Namen in einem Zertifikat hat. Die günstigsten Preise sind da auch ca. 200$ / Jahr. Falls dir diese 200$ pro Jahr wirklich zuviel sind kannst du auch einfach ein 29$ Domaincert nehmen und AutoDiscovery via SRV Records realisieren (was dafür sorgt das AutoDiscovery nur mit Outlook 2007 SP1 aufwärts tut - und auf garkeinem Mobile-Gerät). Und zwei 29$ Domaincerts und halt zwei externe IP-Adressen. Aber all das Gebastel würde ich nicht auf mich nehmen wenn du das Problem für 200$ sauber lösen kannst. Mach eine einfache Kosten-Nutzen Rechnung: Was kostet deine Arbeitsstunde? Wird wohl irgendwie im Bereich 50-75 CHF sein. Also - nicht zuviel überlegen, sondern ein SAN Zertifikat kaufen. Zitieren Link zu diesem Kommentar
TheDonMiguel 11 Geschrieben 13. September 2008 Melden Teilen Geschrieben 13. September 2008 Hallo Für Exchange 2007 kaufe ich die SAN Certificates bei digicert.com. Funktionieren einwandfrei und der Support ist auch Tip-Top. Dazu noch ein Microsoft KB: Unified Communications Certificate Partners for Exchange 2007 and for Communications Server 2007 Grüsse Miguel Zitieren Link zu diesem Kommentar
Superstruppi 13 Geschrieben 13. September 2008 Autor Melden Teilen Geschrieben 13. September 2008 So, wie mich das ansieht, sind SAN-Zertifikate teurer (ab 499,-), als Wildcard-Zertifikate (ab 199,-). Wir haben mehrere Onlinedienste, für die wir Zertifikate brauchen, zB.: - owa.unseredomäne.at (exchange 2003) - owa2.unseredomäne.at (exchange 007) - crm.unseredomäne.at - terminal.unseredomäne.at nun möchten wir natürlich so wenig wie möglich zertifikate kaufen, daher auch die wildcard idee. oder geht das dann auch mit SAN-zertifikaten? kann dann ein und dasselbe zertifikat auf allen diesen diensten installiert werden? Dazu ein paar Fragen: 1. Wie erstellt man selber SAN- u. Wildcard-Zertifikat, mit einer eigenen Zertifizierungsstelle? 2. Wie spiele ich das .DER-Zertifikat aus dieser Zertifizierungsstelle aus, damit ich es auf unserer Homepage zur Verfügung stellen kann? 3. Wie benutzer ich ein Wildcard-Zertifikat mit Exchange 2007? Besten Dank u. viele Grüße, Mario. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 13. September 2008 Melden Teilen Geschrieben 13. September 2008 So, wie mich das ansieht, sind SAN-Zertifikate teurer (ab 499,-), als Wildcard-Zertifikate (ab 199,-). Bei GoDaddy anderen Starfield-CAs gibts SAN-Zertifikate auch ab 199 US$. Wir haben mehrere Onlinedienste, für die wir Zertifikate brauchen, zB.: - owa.unseredomäne.at (exchange 2003) - owa2.unseredomäne.at (exchange 007) - crm.unseredomäne.at - terminal.unseredomäne.at Und wie setzt du diese konkret ein? Wird alles über den gleichen ISA-Listener publiziert? Viele CAs verlangen mehr Geld wenn das gleiche Cert auf mehreren Servern eingesetzt wird. Nicht zu vergessen das du autodiscovery.domain.tld auch abdecken musst. nun möchten wir natürlich so wenig wie möglich zertifikate kaufen, daher auch die wildcard idee. oder geht das dann auch mit SAN-zertifikaten? kann dann ein und dasselbe zertifikat auf allen diesen diensten installiert werden? Ja, du kannst das auch mit SAN-Zertifikaten machen - aber beachte das die meisten CAs eine Gebühr pro Maschine verlangen auf der das Zertifikat installiert ist. Bei den Wildcard-Zertifikaten ist das auch so. 1. Wie erstellt man selber SAN- u. Wildcard-Zertifikat, mit einer eigenen Zertifizierungsstelle? How to add a Subject Alternative Name to a secure LDAP certificate 2. Wie spiele ich das .DER-Zertifikat aus dieser Zertifizierungsstelle aus, damit ich es auf unserer Homepage zur Verfügung stellen kann? Über die CA Webservices /certsrv/ auf dem CA Server kannst du das CA Cert downloaden. 3. Wie benutzer ich ein Wildcard-Zertifikat mit Exchange 2007? Wie gesagt, das ist allgemein nicht empfohlen. Aber es sollte möglich sein mit den normalen Exchange-Cert Tools dieses zu aktivieren. Zitieren Link zu diesem Kommentar
Superstruppi 13 Geschrieben 13. September 2008 Autor Melden Teilen Geschrieben 13. September 2008 Besten Dank, LukasB, deine Antworten haben mir sehr weitergeholfen! ich habe nun eine eigene Stammzertifizierungsstelle installiert, die Exchange Zerts erneuert u. importiert u. das Stammzertifizierungsstellenzertifikat am Nokia E51 installiert: Der PushDienst funktioniert problemlos. Da wir wenig User habe, die diesen Dienst nutzen, reicht es momentan, unser Stammzertifizierungsstellenzertifikat auf der Homepage als .CRT zur Installation freizugeben. Klappt wunderbar. Nach 8h Recherche u. Lernen ein kleiner Erfolg. lg, mario. Zitieren Link zu diesem Kommentar
Platzhirsch 10 Geschrieben 30. Dezember 2008 Melden Teilen Geschrieben 30. Dezember 2008 Hi, Kann mir jemand nen Link oder ne Step by Step Anleitung geben für die Einrichtung exchange active sync bei einem 2007`er. Möchte dies gerne mit einer eignen Stammzerifizierungstelle machen, habe mich schon wundgegooglet aber nichts passends gefunden. Danke schon mal um vor raus Zitieren Link zu diesem Kommentar
Superstruppi 13 Geschrieben 30. Dezember 2008 Autor Melden Teilen Geschrieben 30. Dezember 2008 ich kopier dir mal etwas von meiner internen doku rein: Die Stammzertifizierungsstelle Die Stammzertifizierungsstelle ist Voraussetzung für den optimalen Betrieb aller eigenen Webseiten u. Dienste, welche untergeordnete Zertifkate für Verschlüsselung nutzen. Wenn jedes erstellte Zertifikat von der Stammzertifizierungsstelle ausgestellt/bestätigt wurde, so reicht beim Anwender/Kunden lediglich die Installation des Stammzertifikats, um alle, damit bestätigten Zertifikate ohne weitere Nachfrage verwenden zu können. Die Installation einer Stammzertifizierungsstelle ist hier beschrieben: MSXFAQ.DE - CA installieren Ein installierbares Stammzertifizierungsstellenzertifikat erhält man über den Browser unter, zB. http://server-01/certsrv Klick auf „Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste“ Klick auf „Installieren Sie diese Zertifizierungsstellen-Zertifikatkette“ Veröffentlichen des Stammzertifizierungs-Zertifikates: Damit Benutzer/Kunden auch von außerhalb keine Zertifikats-(Fehler) Meldungen mehr erhalten, sollte das Stammzertifizierungszertifikat auf der Firmenhomepage veröffentlich, bzw. zum Download angeboten werden. Hierzu erstellt man eine direkte Verlinkung zur Zertifikatsdatei, die man vorher von .CER auf .CRT umbenennen muss. Sonst wird im Browser der Textinhalt anstatt das Zertifikatsobjekt selbst geöffnet. Erstellen eines Zertifikates für Exchange 2007 Schritt 1: Erstellen der Anforderungsdatei im Exchange Power Shell New-ExchangeCertificate –GenerateRequest -SubjectName "c=AT, o=TEST, cn=MAIL.TEST.AT" -IncludeAcceptedDomains -DomainName mail.test.at, mail, pop3.test.at, imap4.test.at, autodiscover.test.at, exch2007.domäne.local, exch2007 -privatekeyexportable $true -Path c:\mailex2007.req Schritt 2: Bestätigung der Anforderung durch die Stammzertifizierungsstelle 2 Möglichkeiten: Über Online Dienstanbieter: Request-Datei senden Über eigene Stammzertifizierungsstelle: Öffnen des Internet Explorers, Seite: http://bit-server01/certsrv Klick auf „Ein Zertifikat anfordern“ Klick auf „Erweiterte Zertifikatsanforderung“ Klick auf „Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.“ Klick auf „Einzufügende Datei suchen.“ Zertifikatsvorlage „Webserver“ auswählen Klick auf „Einsenden“ Entsprechendes ausgestellten Zertifikat downloaden Schritt 3: Importieren des ausgestellten Zertifikats im Exchange Power Shell Import-ExchangeCertificate -Path c:\Zertifikate\DER-codiert\certnew.cer *) Pfad entsprechend ändern, DER-kodiertes Zertifikat angeben Achtung: In der Bestätigungsmeldung wird der „Thumbprint“-Code ausgegeben (zB. 7632E80A9B82D85D60EEF80A2355BC8922BE1C1D). Diesen in die Zwischenablage kopieren. Schritt 4: Zertifikat für Exchange aktivieren u. für Dienste konfigurieren Enable-ExchangeCertificate -Thumbprint 7632E80A9B82D85D60EEF80A2355BC8922BE1C1D -Services SMTP, IIS, IMAP, POP Aktualisieren/Erstellen des Zertifikates für Webseiten unter Verwendung der Stammzertifizierungsstelle: In der Verzeichnissicherheit der Standardwebseite, die die virtuellen Exchange Verzeichnisse beherbergt, Zertifikat erneuern bzw. erstellen u. als CN-Name den public DNS Namen angeben, zB. mail.test.at. – Anforderung sofort an die Stammzertifizierungsstelle schicken u. die richtige (zB. „Test Zertifizierungsstelle“) auswählen u. abschließen. Damit Active Sync über Outlook 2003 oder 2007 funktioniert, muss das Stammzertifizierungsstellenzertifikat am Client installiert sein u. die owa webseite ohne zertifikats(fehler)meldung aufrufbar sein. wurde das exchange zertifikat über die stammzertifizierungsstelle erstellt, erscheint keine fehlermeldung mehr (sofern das ca Zert. = stammzertifizierungsstellenzertifikat installiert ist) Zitieren Link zu diesem Kommentar
Superstruppi 13 Geschrieben 30. Dezember 2008 Autor Melden Teilen Geschrieben 30. Dezember 2008 Ergänzung: Damit Direct Push am (Nokia) Handy funktioniert, muss zuerst das Stammzertifizierungsstellenzertifikat am Handy installiert werden. Dazu die ca zert Datei aufs Handy kopieren u. vom Handy aus ausführen u. installieren. Danach ist eine sichere Verbindung möglich. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.