Zertifikatsdienste - IIS auf Server 2008 R2

[dataKEKS 11]

Hallo Kollegen und Leidensgenossen!

 

Hatte gerade eine Debatte mit nem Kollegen über die Zertifikatesdienste. So weit ich sie kenne können sie nicht einfach von einem Server auf einen anderen verschoben werden. Das klappt mit einer Root CA nicht. Habe ich das richtig im Kopf?

 

Die zweite Sache bei der wir uns nicht einig werden konnten waren Zertifikate für den IIS / OWA. Mein Kollege ist der Meinung, es funktioniert ein *.remote.domäne.de, ich meine das geht nicht. Habe ich da was nicht mitbekommen oder geht es wirklich nicht?

 

 

Grüße

dataKEKS & saludos

[carlito 10]

Die zweite Sache bei der wir uns nicht einig werden konnten waren Zertifikate für den IIS / OWA. Mein Kollege ist der Meinung, es funktioniert ein *.remote.domäne.de, ich meine das geht nicht. Habe ich da was nicht mitbekommen oder geht es wirklich nicht?

 

Wildcard Zertifikate funktionieren schon. Allerdings kommt Windows Mobile 5 damit nicht zurecht (die Registry Änderung auf den Endgeräten außen vor gelassen). Ab v6 funktioniert es ab Werk.

[dataKEKS 11]

*umfall*

 

Hey Carlito!

 

Schön Dich zu lesen :-) Aber sobald die Zertifikate von einer neuen CA sind haben wir Probleme, richtig?

[carlito 10]

Bzgl. Verschieben einer CA schau mal hier rein http://download.microsoft.com/download/5/f/9/5f995551-76d1-4461-9667-58446af563ac/Windows_Server_2008_R2_ADCS_Migration.doc

[dmetzger 10]

Aber sobald die Zertifikate von einer neuen CA sind haben wir Probleme, richtig?

 

Weshalb denn und inwiefern?

 

Man kann Zertifikatsketten auch vollständig ersetzen. Wichtig ist dann, dass man die CRL der alten Zertifikatskette vorab mit ausreichend langer Gültigkeitsdauer (über die Lebensdauer der ausgestellten Zertifikate hinaus) an weiterhin erreichbaren Orten publiziert. Diese Pfade müssen übereinstimmen mit den CRL-Veröffentlichungspunkten, die in den von der alten CA ausgestellten Zertifikaten definiert sind.

 

Wir ersetzen soeben bei einem Kunden eine AD-integrierte Root CA durch eine Standalone Offline Root CA mit untergeordneter IssuingCA. Hier existieren alte Computerzertifikate in friedlicher Koexistenz mit neuen in den Zertifikatsspeichern. :) Man muss einfach daran denken, dass die alten nicht mehr automatisch ersetzt werden, wenn sie eine Tages ablaufen.

[dataKEKS 11]

Hallo!

 

Recht einfach: Es wurde eine neue CA eingerichtet und die können ja alle Geräte die im Aussendienst noch gar nicht kennen und ohne VPN wird sich das auch nicht ändern :-( Keine Sorge: Wir waren es nicht, haben uns nur über die technischen Möglichkeiten in die Wolle bekommen....

 

Hätte einfach das Zertifikat für die neue Webseite einfach noch von der alten CA ausstellen lassen, dann hätte man die neue CA mit dem nächsten Treffen vom Aussendienst abbilden können, so stehen die jetzt alle ohne Exchange Anbindung da :-)

[dmetzger 10]

Für Exchange-Zugriffe (Outlook Web Access/App, Outlook Anywhere und ActiveSync) würde ich ohnehin kein internes Serverzertifikat verwenden, sondern ein kommerzielles von Thawte, StartSSL, RapidSSL, VeriSign und wie sie alle heissen. Windows-Clients vertrauen diese dank Stammzertifikaten im Zertifikatsspeicher automatisch. Solche Zertifikate kosten heute noch ein paar Euro im Jahr, und Eure Aussendienstler sind sofort wieder online. :cool: