Pe.Vo 10 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 Moin, ich habe in der Exchange Verwaltungskonsole versehentlich ein Zertifikat gelöscht was fürs OWA zuständig war, zumindest funktioniert OWA nun nicht mehr. Es jetzt nur noch eine Zertifikat namens "Microsoft Exchange" vorhanden. Also habe ich den Assistenten für ein neues Zertifikat ausgeführt und wollte anschliessend mit der *.REQ Datei über https://<Server>//certsrv das Zertifikat erstellen. Diese Seite ist nicht zu finden. Wenn ich auf http://<Server>//certsrv gehe, bekomme ich den Hinweis das die Seite nur per SSL zu erreichen ist. Hat jemand eine Idee wie ich da weiterkomme? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 Moin, sind denn auf "<Server>" überhaupt die AD Zertifikatsdienste installiert? Die Webseite gibt es natürlich nur auf einem Server, wo die Zertifikatsdienste mit allen notwendigen Rollen installiert sind. Zitieren Link zu diesem Kommentar
Pe.Vo 10 Geschrieben 13. April 2013 Autor Melden Teilen Geschrieben 13. April 2013 In der Tat sind die AD Zertifikatdienste nicht installiert. OWA hat aber definitiv zuvor funktioniert. Das Dumme ist das ich den Server nicht installiert habe und der bisherig Admin nicht erreichbar ist, ganz zu schweigen von einer Doku. Der Server ist zwar eine VM unter EXI, aber eine Sicherung gibt es nicht. Ich bin mir unsicher was ich zerhaue wenn ich die Zertifikatdienste installiere. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 OWA hat auch nichts mit den Zertifikatsdiensten zu tun. Letzte braucht man nur, um dar Zertifikat zu signieren. Das mit der Windows CA ist nicht in ein paar Worten erklärt, es schadet aber nichts, im Unternehmen eine zu haben. Theoretisch ist es möglich, die auf dem Exchange zu installieren, würde ich aber nicht machen. Außerdem müsste man vorher abklären, ob nicht in AD eventuell noch Reste einer CA stecken. Nimm einen neuen Server (dank VM ja nicht so aufwendig) und in diesem wir die Windows CA als "Unternehmns-Stamm-CA" installiert. Hierbei muss die Webregistrierung als Rollendienst hinzugefügt werden (die richtig, es gibt drei ähnlich klingende, Hilfetexte lesen!) Das Root-CA-Zert wird per GPO verteilt (u.U. passiert das sogar automatisch nach der Installation) Der Exchange Request wird dann von der Windows CA signiert Bitte denk aber daran, dass ein internes Zertifikat außen nicht vertrauenswürdig ist und die Leute außerhalb von AD Zertifikatsfehler bekommen. Viel kaputt machen kann man damit eigentlich nur, wenn es schon bestehende Strukturen gibt. Wenn nichts da ist, kommt nur was hinzu. Wenn Du Dir unsicher bist, müsst ihr Euch eben einen Fachkundigen ins Haus holen und das Geld als Lerneffekt titulieren. Zitieren Link zu diesem Kommentar
Pe.Vo 10 Geschrieben 13. April 2013 Autor Melden Teilen Geschrieben 13. April 2013 Hallo Robert, ich werde mich zunächst um eine Sicherung der VMs kümmern und das AD durchforschen bevor ich ein neues Zertifikat erstelle oder überhaupt Veränderungen vornehme. Danke für die Aufklärung! Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 Eine eigene CA für ein einziges Zertifikat zu erstellen halte ich zu viel des Guten. Ein UCC bekommt man für ca. 50€ pro Jahr zu kaufen. Warum sollte man sich bei dem Preis mit einer CA auseinandersetzen? Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 Hey Leute - bitte lasst das mal mit der Webregistrierung - für ein Exchange Cert braucht die niemand! Zertifikatsvorlagen erstellen, und Requests einreichen, dafür braucht man nur eine MMC. @Pe.Vo - Du wirst sicher ein sog. SAN Zertifikat benötigen, von daher sind die von tesso genannten 50€ sicherlich mehr als optimistisch gerechnet. Wenn noch Hilfe fehlt - immer Fragen: P.S.: Es wäre sehr sinvoll wenn du uns die Server Version und die genaue Exchange Version nennest. Zitieren Link zu diesem Kommentar
Pe.Vo 10 Geschrieben 13. April 2013 Autor Melden Teilen Geschrieben 13. April 2013 Ich stimme Dir zu und hatte den Erwerb eines Zertifikates auch schon geprüft. Für 50,- Euro / Jahr habe ich aber nichts gefunden. Die Preise lagen eher so bei 140,- aufwärts. Zudem gibt es eine Vielzahl von unterschiedlichen Zertifikaten, was mir die Entscheidung aufgrund von Unkenntnis nicht leichter macht. Bin also für Tipps dankbar. Hallo Substyle, nur eine MMC - mehr nicht - ist das nicht auch etwas zu optimistisch :rolleyes: Es handelt sich um ein aktuell gepatchten Server 2008R2 mit einem Exchange 2010SP2 Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 Moin. Eine eigene CA für ein einziges Zertifikat zu erstellen halte ich zu viel des Guten. Ein UCC bekommt man für ca. 50€ pro Jahr zu kaufen. Warum sollte man sich bei dem Preis mit einer CA auseinandersetzen? eine interne CA kann man auch gut für andere Dinge gebrauchen, z.B. für SSL-Seiten von Routern, für interne Webserver, Makro-Signatur, etc. Die Entscheidung ist nur: Muss das auch extern fehlerfrei sein. Wenn nicht, tut es eine interne CA wunderbar. Hey Leute - bitte lasst das mal mit der Webregistrierung - für ein Exchange Cert braucht die niemand! Zertifikatsvorlagen erstellen, und Requests einreichen, dafür braucht man nur eine MMC. "Niemand" stimmt nicht. Sollte es ein SAN-Zertifikat werden, muss es über die Webseite oder certutil eingericht werden. Certutil macht keinen echten Spaß. SAN-Zertifikate gehen nicht über die MMC. Außerdem ist bei Nutzung durch andere Admins oder gar User es sicher deutlich einfacher, wenn es eine Webseite gibt. @Pe.Vo - Du wirst sicher ein sog. SAN Zertifikat benötigen, von daher sind die von tesso genannten 50€ sicherlich mehr als optimistisch gerechnet. Wieviele Namen in einem Zertifikat stehen müssen, kann man aus der Ferne nur schwer beurteilen. 50 Euro halte ich aber auch zu wenig. Echte UCC-Zertifikate machen noch dazu richtig Aufwand, weil es die nicht als Class 3 Zertifikate gibt. Da muss man dann Unterlagen einreichen oder persönlich erscheinen. Ich stimme Dir zu und hatte den Erwerb eines Zertifikates auch schon geprüft. Für 50,- Euro / Jahr habe ich aber nichts gefunden. Die Preise lagen eher so bei 140,- aufwärts. Ein einfaches Class 3 bekommt man für 15 Euro im Jahr. Das kann reichen, wenn man den Rest der Infrastruktur richtig aufbaut. Zudem gibt es eine Vielzahl von unterschiedlichen Zertifikaten, was mir die Entscheidung aufgrund von Unkenntnis nicht leichter macht. Hier verwirrt Dich das Marketing. Eigentlich gibt es genau EIN Zertifikat für SSL-Verschlüsselung. Bei Zertifikaten hängt es von den Attributen ab, SSL braucht "Serverauthentifizierung". Höchstens der Webserver-Version ist bei der Beantragung noch wichtig. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 Öffne doch mal die mmc und lade als Addin die Zertifikate. Dort dann vom lokalen Computer und dann geh doch mal die einzelnen Bäume durch ob du da eine Interne Ca findest. Meistens ist da auch der Servername hinterlegt. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 "AD Standorte und Dienste", dann den Dienstknoten im Ansichtmenü einschalten und in Services -> Public Key Services -> Certification Authorities nachsehen, ist der bessere Ort. Zitieren Link zu diesem Kommentar
Pe.Vo 10 Geschrieben 13. April 2013 Autor Melden Teilen Geschrieben 13. April 2013 "AD Standorte und Dienste", dann den Dienstknoten im Ansichtmenü einschalten und in Services -> Public Key Services -> Certification Authorities nachsehen, ist der bessere Ort. Certification Authorities ist leer, wie auch alle anderen Container unter Public Key Services Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 UCC Zertifikat 46,79€ bei https://certificatesforexchange.com/ Habe ich mehrfach genutzt und funktioniert. Klar kann man eine interne CA auch für anderes nutzen, wird beim CA aber anscheinend nicht getan. Und dann halte ich den Kauf eines Zertifikates für die bessere Wahl. Zitieren Link zu diesem Kommentar
Pe.Vo 10 Geschrieben 13. April 2013 Autor Melden Teilen Geschrieben 13. April 2013 Hallo Tesso, bei dem Preis lohnt sich der Aufwand der Fehlersuche ja wirklich kaum. Aber aus rein sportlicher Sicht... Falls jemand jetzt noch einen Tipp hat wie ich das fixen kann - her damit ansonsten vergessen wir das Thema. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. April 2013 Melden Teilen Geschrieben 13. April 2013 Certification Authorities ist leer, wie auch alle anderen Container unter Public Key Services Dann gab es noch nie eine AD-integrierte CA. UCC Zertifikat 46,79€ bei https://certificatesforexchange.com/ Habe ich mehrfach genutzt und funktioniert. Interessant. Sind das "echte" SAN oder nur, wie in der Hilfe gezeigt, unterschiedliche Subdomains? Letzteres kostet hier (allerdings nur mit 3 Subs) sogar nur 39 Euro. Falls jemand jetzt noch einen Tipp hat wie ich das fixen kann - her damit ansonsten vergessen wir das Thema. Na, was brauchst Du nun noch als Tipp? Reqeuest erzeugen und in der internen oder der aus den Links einreichen und Antwort wieder zurück in den Exchange. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.