aba101280 10 Geschrieben 16. September 2008 Melden Teilen Geschrieben 16. September 2008 Hallo Zusammen, nun habe ich mich den ganzen Nachmittag damit beschäftigt, ein Zertifikat zu erstellen damit ich nach export dieses Zertifikats auf meinem HTC Touch Diamond auf meinen Exchange zugreifen kann. Ich habe mich dabei an diversen Howtos orientiert aber leider war ich nicht erfolgreich. Ich bin wie folgt vorgegangen 1) Der Exchange 2007 läuft auf einem Server 2003 Enterprise. Die Zeritfizierungsstelle habe ich nach folgendem How-To installiert: MSXFAQ.DE - CA installieren Das hat geklappt. 2) Nun muss ich ja über den Exchange 2007 ein Zertifikat anfordern, zumindest habe ich das so von diesem HowTo verstanden. MSXFAQ.DE - E2K7:Zertifikate Nachdem ich leider absolut nicht mit der Exchange Console zurecht komme habe ich über diesen Link den Entsprechenden Copy-Paste Text generiert: https://www.digicert.com/easy-csr/exchange2007.htm Das ganze dann in die Powershell eingefügt und dann habe ich tatsächlich eine Datei namens *.csr gehabt. Das soll nun die entsprechende Anfroderung sein. Gut soweit also auch geklappt 3) Nun fängt es an: Diese Datei soll unter der Adresse https://server/certsvr bestätigt werden. Hier habe ich leider noch keinen Weg gefunden was ich genau machen soll um dann die entsprechende Antwort zu erhalten. Kann mir hier jemand weiterhelfen? Ich vermute es ist: - advanced certificate request - Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. Aber sicher bin ich nicht 4) Diese Datei muss dann wohl importiert werden. So wie ich das verstanden habe mit: Import-ExchangeCertificate -Path c:\zertifikat.cer Zur Überprüfung kann man den Befehl: Get-ExchangeCertificate eingeben. Ich habe das mal testweise gemacht. Ergebnis ist folgendes: Thumbprint Services Subject ---------- -------- ------- D6823B516AF6D816CAEE8854C849873E6F9CA939 ..... CN=server64. 615F6DE6F21E02F8A69E4EC34E527D56983263AE ..... CN=server64 2CB7DC2597BF68CDB1E4B3136DA1EF798F3BC775 IPU.S CN=server64 A3311581DB17F821F4D1B66087AE10E1B5A19117 IPU.S CN=server64 24AAF26CF0F3A0450C82AF75756F1428E115DB97 IPU.S CN=server64 100E955B6B9976BFC6CF5B9C9073463EBD1229F7 IPU.S CN=server64 213BC20F4B2FAFDC4C6D60D5411AA9E5B9E61650 IPU.S CN=server64 3CAABEB07CBAF45B114804654AA9D0250BE40347 ..... CN=PrivateSe C19C1C3F66A4CA9ECEFAD9D67E6EC5A870B0A5A6 IPU.S CN=server64 C878C0F35362744DFDC891302E95E2E3400935DE IPU.S CN=server64 79411664AD173D1C95DB9EC3F95471641C383E12 IPUWS CN=server64 Das heißt hier befinden sich wohl schon einige Zertifikate auf dem Server, aber woher denn ???? Ich blicke einfach nicht mehr durch kann mir jemand weiterhelfen? Danke und Grüße Alex Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 17. September 2008 Melden Teilen Geschrieben 17. September 2008 Ohja, damit habe ich auch lange gekämpft :) Vorerst musst du dir mal über eines klar werden: Willst du dein Zertifikat von einer offiziellen Stelle signieren lassen (wie eben DigiCert) oder willst du deinen eigenen Zertifikatsserver als vertrauenswürdige Zertifizierungsstelle eintragen. Das ist die Grundsatzfrage. Entweder oder :) Zitieren Link zu diesem Kommentar
aba101280 10 Geschrieben 18. September 2008 Autor Melden Teilen Geschrieben 18. September 2008 Hallo, danke erstmal für die Antwort. Ich möchte es von meinem eigenen Server zertifizieren lassen. Ich bin nur nicht mit der Formulierung der Zertifikatsanfrage in Exchange 2007 zurecht gekommen und habe es mir deshalb über diese Webseite von digicert generieren lassen. Diese Anfrage hat wiederum die Anfragedatei erzeugt welche ich nun von meiner eigenen Stelle zertifizieren lassen möchte. Ich weiß alleridngs nicht wie ich diese Anfrage stelle bzw. was ich dann mit der Antwortdatei machen muss. Danke nochmals und Grüße Alex Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 18. September 2008 Melden Teilen Geschrieben 18. September 2008 Du musst folgende Schritte machen: * Dir überlegen: Über welche Domains wird mein Server erreichbar sein (z.b. mail.firma.at, autodiscover.firma.at, ...) * Dann lässt du dir über die PowerShell einen Certificate Request generieren. * Diesen Request kannst du dann von deiner Zertifizierungsstelle (die ein Stammzertifikat hat, welches du exportieren kannst) zertifizieren lassen. Dazu musst du in diese Weboberfläche gehen und dort dann deinen Certificate Request angeben. * Nun gibt es auf dem Rechner auf dem du die Stammzertifizierungsstelle installiert hast, die Möglichkeit den Certificate Request zu erlauben oder zu verweigern (schau mal in die administrative Tools ob das dort war - war aber nicht zu schwer). * Wenn du das zugelassen hast, kannst du wieder auf die Webseite gehen und dir dein signiertes Zertifikat holen. Du hast jetzt ein von einer Stammzertifizierungsstelle signiertes Zertifikat. * Clients werden diesem Zertifikat nun normalerweise nicht vertrauen, da sie der Stammzertifizierungsstelle nicht vertrauen. Das ist aber das kleinste Problem. Du kannst nun bei den Clients die dir vertrauen sollen das Zertifikat in die "Trusted Root Certificate Store" einbauen. Unter normalen Windows Clients: Doppelklick auf das Stammzertifikat (nicht das vom Exch, sondern das von deiner Zertifizierungsstelle), dann manuell den Trusted Root Certificate Store auswählen. Ab sofort hast du ein gültiges Zertifikat, dem Clients auch vertrauen. * Nun musst du noch deinem Exchange Server sagen, dass er ab sofort über dieses Zertifikat arbeiten soll. Der Schritt ist aber eh auf der msxfaq.de recht gut beschrieben. Ich hoffe das war soweit so unklar ;) .. Bei Fragen fühl dich frei :) Zitieren Link zu diesem Kommentar
aba101280 10 Geschrieben 18. September 2008 Autor Melden Teilen Geschrieben 18. September 2008 Hallo Thomas, vielen vielen Dank für deine Anleitung. Folgendes habe ich hierzu gemacht * Dir überlegen: Über welche Domains wird mein Server erreichbar sein (z.b. mail.firma.at, autodiscover.firma.at, ...)* Dann lässt du dir über die PowerShell einen Certificate Request generieren. Das habe ich gemacht. Eine Zertifikatsanfrage liegt bereit unter dem Dateinamen request.csr vor.... Haken dran * Diesen Request kannst du dann von deiner Zertifizierungsstelle (die ein Stammzertifikat hat, welches du exportieren kannst) zertifizieren lassen. Hier habe ich das erste Problem. Woher weiß ich dass meine Zertifizierungsstelle ein Stammzertifikat hat. Ich vermute mal fast dass ist das was ich hier erstelle oder? MSXFAQ.DE - CA installieren Ich hatte zumindest danach ein Zertifikat auf c liegen (*.crt) welches danach aussieht. Dazu musst du in diese Weboberfläche gehen und dort dann deinen Certificate Request angeben. Genau dass bin ich auch. Folgende Schritte: IE öffnen dann unter https://localhost/certserv - Request a Certificate - Or, submit an advanced certificate request. - Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. Dann copy Paste den Inhalt des Zertifikates hineinkopiert und submit gedrückt herauskam eine Datei namens certnew.cer * Nun gibt es auf dem Rechner auf dem du die Stammzertifizierungsstelle installiert hast, die Möglichkeit den Certificate Request zu erlauben oder zu verweigern (schau mal in die administrative Tools ob das dort war - war aber nicht zu schwer). Sorry das finde ich nicht. Wo muss ich denn suchen? Sorry für die vielen Fragen bin echt schon total am Ende :-( Danke nochmals und Grüße Alex Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 20. September 2008 Melden Teilen Geschrieben 20. September 2008 So .. eigentlich habe ich am Donnerstag abend noch geantwortet, da jedoch das mobile Inet grad in dem Moment ausgefallen ist, als ichs posten wollte ... Daher mal meine Antwort jetzt: Das .crt sollte eigentlich dann dein Stammzertifikat sein. Du solltest es jedoch auch unter der MMC -> Zertifikate sehen und exportieren können (auch wenn ich mir hier nicht 100%ig sicher bin). Wenn du das certnew.cer schon bekommen hast, dann sollte das eigentlich eh schon automatisch bestätigt worden sein. Das solltest du dann auch unter MMC -> Zertifikatsstelle sehen können (wenn mich nicht alles täuscht). Du musst jetzt noch das signierte Zertifkat im Exchange installieren .. Das sind die hier beschriebenen letzten Punkte: MSXFAQ.DE - E2K7:Zertifikate Zitieren Link zu diesem Kommentar
aba101280 10 Geschrieben 22. September 2008 Autor Melden Teilen Geschrieben 22. September 2008 Hallo Thomas, vielen Dank nochmals für deine Mühen. Du hast mir sehr weitergeholfen. Danke. Soweit ist mir jetzt alles klar allerdings ist eine Frage noch offen. Und zwar verstehe ich das nicht ganz mit der Zertifikatsinstallation. Du sagtest die letzten Schritte vom How-To. Wahrscheinlich: 1) Import-ExchangeCertificate -Path c:\msxfaq.de.cer Das habe ich soweit gemacht und anscheind hat das auch geklappt. 2) Nun steht im How-To folgendes: Der Erfolg des Imports können Sie mit "Get-ExchangeCertificate" überprüfen Get-ExchangeCertificate Habe ich auch gemacht aber dann kommt bei mir das hier: Thumbprint Services Subject ---------- -------- ------- D6823B516AF6D816CAEE8854C849873E6F9CA939 ..... CN=server64. 615F6DE6F21E02F8A69E4EC34E527D56983263AE ..... CN=server64 2CB7DC2597BF68CDB1E4B3136DA1EF798F3BC775 IPU.S CN=server64 A3311581DB17F821F4D1B66087AE10E1B5A19117 IPU.S CN=server64 24AAF26CF0F3A0450C82AF75756F1428E115DB97 IPU.S CN=server64 100E955B6B9976BFC6CF5B9C9073463EBD1229F7 IPU.S CN=server64 213BC20F4B2FAFDC4C6D60D5411AA9E5B9E61650 IPU.S CN=server64 3CAABEB07CBAF45B114804654AA9D0250BE40347 ..... CN=PrivateSe C19C1C3F66A4CA9ECEFAD9D67E6EC5A870B0A5A6 IPU.S CN=server64 C878C0F35362744DFDC891302E95E2E3400935DE IPU.S CN=server64 79411664AD173D1C95DB9EC3F95471641C383E12 IPUWS CN=server64 Ich denke das sind die missglückten Zertifikatsanforderungen vom Anfang. Kriege ich die da alle wieder raus. Wenn nicht sollte eigentlich nicht so schlimm sein denn aktiviert ist es ja nicht. 3) Weiterhin heißt es: Ein Zertifikat auf dem Server ist nur der Anfang. Damit die verschiedenen Exchange Dienste dieses Zertifikat nutzen, müssen Sie noch entsprechende konfiguriert werden. Auch dies erfolgt über die Powershell Enable-ExchangeCertificate -Thumprint <fingerabdruck des Zertifikats> -Services SMTP,IMAP,POP,UM,IIS Das verstehe ich nicht ganz. Wenn ich das eingebe kommt eine Fehlermedlung. Sollte doch so richtig sein oder? Enable-ExchangeCertificate -Thumprint <3CAABEB07CBAF45B114804654AA9D0250BE40347> -Services SMTP,IMAP,POP,UM,IIS Sorry falls ich mich **** anstelle aber wenn man sowas noch nie gemacht hat fällt das echt schwer Danke nochmals und Grüße Alex Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 War damals sozusagen auch mein erstes Mal. Mit dem ImportExchCert fügst du das Zertifikat in die "Sammlung" hinzu. Eines aus dieser Sammlung musst du dann effektiv enablen. Das geschieht mit EnableExchCert - an dieser stelle musst du auch die Dienste angeben, die dieses Zert nutzen sollen. Ich glaube dein Fehler liegt einfach nur darin, dass du <> mit eingegeben hast. Du kannst soweit ich weiss den Thumbprint in "" (Anführungszeichen) angeben. Ist aber in dem Fall nicht notwendig weil du ja eh nur ein einzelnes "Wort" hast (keine Leerzeichen). Was ist denn die genaue Fehlermeldung ;) Also mein Tip: * Thumbprint richtig schreiben (oder zumindest nachschauen wie man es denn nun schreibt, ich hatte im Kopf dass da noch ein D hingehört) * die <> weglassen oder durch "" ersetzen. Zitieren Link zu diesem Kommentar
aba101280 10 Geschrieben 22. September 2008 Autor Melden Teilen Geschrieben 22. September 2008 Hallo, ic verzweifle...echt seit einer Woche und ich krieg das nicht gebacken. Kennt jemand einen einigermaßen vernünftigen Support der sich auf meine Kiste schalten kann. Natürlich nicht unentgeldlich aber ich kriege es einfach nicht hin. Jeses mal wenn ich einen Schritt weiter bin klappt irgendetwas anderes nicht. Versteh einfach auch die Logik nicht. Als ich die Zertifizierungsstelle installiert habe wurde automatsisch ein Zertifikat angelegt. Dieses Root Certifikiat kann man so wie ich das gesehen habe uch gar nicht mehr ändern. Wenn ich nun dieses Root Zertifikat auf meinem Client installiere dann macht der das auch dennoch wird das Exchange Zertifikat auf dem Client nicht als Vertrauenswürdig eingestufft. :-( Egal was ich mache immer dieselbe Meldung. Insofern funktioniert auch mein Handy Exchange nicht obwohl das Root Zertifikat dort richtig eingetragen ist. Das mit dem Enabling hat geklappt war tatsächlich nur ein Schreibfehler dennoch klappt der Rest eben nicht Grüße Alex Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Installier mal auf einem Client das rootzertifikat (und zwar auch in den root certificate store, nicht in das automatisch ausgewählte). Dann öffne mit diesem Client einmal OWA. Wenn hier kommt dass das Zertifikat nicht vertrauenswürdig ist, hast du was falsch gemacht. Zitieren Link zu diesem Kommentar
aba101280 10 Geschrieben 22. September 2008 Autor Melden Teilen Geschrieben 22. September 2008 Hallo, danke für die schnelle Antwort. Genau das ist es ja. Ich importiere das Root Zertifikat in den Client. Hab mittlerweile schon alle Stores durch trotzdem kommt immer noch die Aufforderung. Irgendwie ist mein Root Zertifikat nicht gültig und ich weiß verdammt nochmal nicht warum weil ich eigentlich nur dem How-To gefolgt bin... Oder es stimmt etwas mit dem installierten Zertifikat nicht. Kann natürlich auch sein aber ich weiß nicht wie ich das nochmal ändern kann. Bin echt sowas von am Verzweifenln. Kenn jemand einen vernünftigen Support die das für sagen wir 100€ machen können. Ich dreh sonst echt noch durch. Danke nochmals für die Hilfe Grüße Alex Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Schau mal in die MMC unter Zertifikate bei deiner Zertifizierungsstelle - kannst du das Rootzertifikat dort exportieren? Zitieren Link zu diesem Kommentar
aba101280 10 Geschrieben 22. September 2008 Autor Melden Teilen Geschrieben 22. September 2008 Hallo, jetzt habe ich es über einen anderen Weg geschafft ein gültiges Zertifikat zu bekommen. Vom Client aus kann ich nun ohne Probleme und ohne Meldung auf die OWA Seite zugreifen :-) Das schonmal gut. Nun habe ich noch das Problem das Active Sync sagt es brauche ein gültiges Userzertifikats meines Unternehmens. Wenn ich versuche das runterladen gibt es nur eine kurze Fehlermeldung wegen Netzwerkproblemen. Naja vielleicht weiß hier jemand was zu tun ist ansonsten klappt der Größte Teil jetzt mal. Das Zertifikat habe ich übrigens nicht über die Exchange Powershell sondern über den IIS und dort Zertifikatsanfrage bekommen. Grüße Alex Zitieren Link zu diesem Kommentar
spooner 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 Hallo Zusammen, ich habe auch einen Exchange 2007, aber keine Windows Server 2003, sondern einen Windows Server 2008. Wie kann ich da das Zertifakt bestätigen? Da gibt es leider keinen http://localhost/certsrv Über die Zertifizierungsstelle bekomme ich eine Fehlermeldung: die anforderung enthält keine.... Was muss ich machen um das Zertifikat zu bestätigen und es später dann für den OWA einsetzen zu können? Danke, Gruß spooner Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 Doch das gibts auch im Server 2008 .. du musst allerdings dazu die Active Directory Zertifikatsdienste (oder wie die Rolle gleich nochmal heisst) installieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.