Snecx 10 Geschrieben 30. Oktober 2010 Melden Teilen Geschrieben 30. Oktober 2010 Hallo Ich habe eine Frage zu Zertifikaten generell und dem Exchange 2010. Ich habe einen W2008R2 mit Exchange 2010. Auf dem Server selbst ist auch die CA installiert. Jetzt erstelle ich mir einen Request und signiere mit meiner CA. Danach ist das Zertifikat gültig und ich muss nur noch auf den Clients das Root Cert von meiner CA installieren. Jetzt akzeptieren alle Clients auch das Zertifikat. Das funktioniert so bei mir ohne Probleme. Jetzt installiere ich das Root Cert von meiner CA auf einen anderen W2008 Server und signiere diesen Request mit meiner CA. Wenn ich jetzt den Wizard abschließe sagt mir aber Exchange 2010 das das Zertifikat ungültig ist. Ich dachte immer wenn ich ein Root Zert von einer CA habe dann wird das signierte Zertifikat auch als "OK" bzw. vertrauenwürdig behandelt. Verstehe ich denn da etwas verkehrt oder warum ist das Zert auf meinem ersten Server (wo die CA instaliert ist) und auf dem zweiten nciht ok. (Da wo nur das Root Zert installiert ist) Es wäre nett wenn mich jemand in die richtige Richtung schubst. Danke andreas Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 30. Oktober 2010 Melden Teilen Geschrieben 30. Oktober 2010 Hallo Ich habe eine Frage zu Zertifikaten generell und dem Exchange 2010. Ich habe einen W2008R2 mit Exchange 2010. Auf dem Server selbst ist auch die CA installiert. Die CA auf dem Exchange ist eher ungünstig, aber naja. Jetzt erstelle ich mir einen Request und signiere mit meiner CA. Danach ist das Zertifikat gültig und ich muss nur noch auf den Clients das Root Cert von meiner CA installieren. Ja, wobei bei Domänenmitgliedern und AD-integrierter CA dies automatisch geschieht. Jetzt akzeptieren alle Clients auch das Zertifikat. Das funktioniert so bei mir ohne Probleme. Korrekt. Jetzt installiere ich das Root Cert von meiner CA auf einen anderen W2008 Server und signiere diesen Request mit meiner CA. Welchen Request denn? Wenn ich jetzt den Wizard abschließe sagt mir aber Exchange 2010 das das Zertifikat ungültig ist. Ich verstehe grad nicht, was genau du da tust. Ich dachte immer wenn ich ein Root Zert von einer CA habe dann wird das signierte Zertifikat auch als "OK" bzw. vertrauenwürdig behandelt. Naja man kann auch andere Fehler fabrizieren als nur "keine trusted root" zu haben. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Snecx 10 Geschrieben 30. Oktober 2010 Autor Melden Teilen Geschrieben 30. Oktober 2010 Hallo Also das ist alles keine Produktivumgebung oder so. Ich spiele nur ein bischen mit den Servern herum. Mir geht es dabei eher um vestehen und probieren. Mit dem Request meine ich folgendes. Auf einem zweiten W2008 mit Exchange benötige ich ja auch ein Zertifikat für OWA usw. Ich erstelle also ein Zertifikatrequest in der Managementkonsole für Exchange. Diesen Request reiche ich an meinen anderen W2008 weiter wo der CA installiert ist. Dort bekomme ich ja eine Antwort. Mit der Antwort kann ich dann wieder auf den anderen Server und den Request abschließen. Beim Server wo die CA installiert ist bekomme ich auch ein OK. Beim Server wo ich nur das Root Zertifikat importiert habe von meiner CA sagt die Konsole mir das das Zertifikat nicht für die Verwendung mit Exchange geeignet ist. Der zweite W2008 ist nicht innerhalb der Domaine des ersten W2008. Mir geht es nicht um Sinn oder nicht Sinn, sondern um zu Verstehen warum dort die Meldung kommt Nicht für die Verwendung für Exchange geeignet. Schau ich mir aber den Zwertifizierungspfad des Zertifikats an steht dort Das Zertifikat ist gültig. Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 30. Oktober 2010 Melden Teilen Geschrieben 30. Oktober 2010 Beim Server wo die CA installiert ist bekomme ich auch ein OK. Beim Server wo ich nur das Root Zertifikat importiert habe von meiner CA sagt die Konsole mir das das Zertifikat nicht für die Verwendung mit Exchange geeignet ist. Der zweite W2008 ist nicht innerhalb der Domaine des ersten W2008. Mir geht es nicht um Sinn oder nicht Sinn, sondern um zu Verstehen warum dort die Meldung kommt Nicht für die Verwendung für Exchange geeignet. Wahrscheinlich weil der zweite Exchange den Zertifizierungspfad überprüfen will und dazu die CA kontakten will. Das kann er aber wahrscheinlich nicht, weil deine Namensauflösung das wahrscheinlich nicht hergibt. Wie du siehst gibts ne Menge "wahrscheinlichs", da du dich mit der Beschreibung deiner Testumgebung nicht grad überschlägst mit Infos. Bye Norbert Zitieren Link zu diesem Kommentar
JohnnyFu 10 Geschrieben 1. November 2010 Melden Teilen Geschrieben 1. November 2010 Ich hatte vor kurzem ähnliche Probleme im Labor. 1. Die CA muss für deinen Exchange per DNS auflösbar und erreichbar sein. Sonst meldet Exchange das der Revocation Status nicht überprüft werden konnte. 2. Das Root Cert der CA muss in Trusted Root Authorities auf dem Exchange liegen. Überprüfe Punkt 2. Öffne eine MMC, lade das Certificates Snap-In für "Computer Account". Und überprüfe ob dein Root CA Cert unter "Trusted Root Certification Authorities / Cerificates" liegt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.