Exchange Server Zertifikat

[NorbertFe 2.041]

Eine Root-CA sollte man nicht einfach mal ohne Plan installieren. Also ja, es ist Know How notwendig, falls das deine Frage ist. ;) Und jedes Jahr das Zertifikat erneuern oder eins kaufen ist vollkommen normal. Wenn du Geld ausgibst, kannst du auch ein 3 Jahres Zertifikat kaufen, und mußt nur alle 3 Jahre ran. Dafür mußt du nix an den Clients (Outlook, Browser, Mobile Devices). ;)

 

 

Bye

Norbert

[Peterzz 11]

Ok, Danke schon mal für die Infos

 

@RobertWi

 

Wie hast du das gemeint mit:

Daher: Installier eine CA. Dauert 5 Minuten und bei einer AD-integrierten wird Dir das Root-CA automatisch in die Domain-GPO gesteckt.

 

Wie ist deine Meinung zum Kauf eines Zertifikats?

[NorbertFe 2.041]

Das ist genauso gemeint wie er es geschrieben hat. Ja man kann eine Root-CA in 5 Minuten installieren. Aber ob man dann auch über die Konsequenzen nachgedacht hat, sollte man schon wissen. ;)

 

Meine Meinung ist: Kauf dir ein Zertifikat!

 

Bye

Norbert

[RobertWi 81]

Meine Meinung ist: Das kommt darauf an. ;)

 

Ich habe aber auch die Ahnung, dass beurteilen zu können und sowohl die eine als auch die andere Lösung zu implementieren.

 

Wenn jemand keine/wenig Ahnung davon hat, ist es einfacher eines zu kaufen.

[Peterzz 11]

Ok, ich gebe ja vielleicht nach :( aber.

Könnt ihr mir mal ein Beispiel nennen, was man sich bei einer eigene CA alles "kaputt machen" oder "verbauen" kann?

[RobertWi 81]

Moin,

 

ich denke, man muss sich schon extrem b***d anstellen und es muss viel schiefgehen, um man mit der bloßen Installation einer internen CA was kaputt zu machen. Denn technisch ist eine CA kein Hexenwerk. Es sind eher die organisatorischen Fragen, die die Arbeit machen.

[NorbertFe 2.041]

Eben und ehe man mal eben auf install klickt, sollte man sich damit befassen und das nicht nach hinten verschieben. Denn ein CA Design kann ggf. auch schnell ausarten, wenn man es irgendwann mal eben einfach so nebenbei gemacht hat und dann später konkrete Anforderungen gestellt werden.

[datmox 26]

Das muss man nicht mal kaufen. Einjährige gibt es bei einigen Anbietern kostenlos (www.startssl.com).

 

Trotzdem scheint mancher Admin davor Angst zu haben und nimmt lieber eine Bastellösung in Kauf, als es richtig zu machen.

 

Zitat von http://www.heise.de/newsticker/meldung/Vorsicht-bei-kostenlosen-SSL-Zertifikaten-137817.html

 

Schon bei der Schlüsselerstellung geht StartCom nicht sonderlich seriös vor: Der "Certificate Creation Wizard" erzeugt den Private Key auf dem Server der israelischen Firma und übermittelt ihn dem Website-Betreiber über eine (SSL-gesicherte) Web-Seite. Eine Garantie, dass nicht eine Kopie des geheimen Schlüssels bei StartCom verbleibt, erhält er nicht. Mit einer solchen Kopie wäre es möglich, alle verschlüsselten Verbindungen des Servers zu dechiffrieren. Bei seriösen Anbietern erzeugt der Anwender seinen geheimen Schlüssel lokal; an die CA übermittelt er nur den Zertifizierungsantrag, den diese unterschrieben zurück sendet.

 

Ich hatte schon vor mir von dort ein kostenloses Zertifikat zu holen, werde jetzt aber wohl doch ein paar Euros investieren.... Natürlich ist der Artikel schon älter und ich weiß nicht, ob es noch immer so ist... Seriös geht aber definitiv anders.

[RobertWi 81]

Wir reden doch hier aber über OWA - und nicht über Online-Banking oder einen First Class Webshop, oder?

 

Ich will mein OWA verschlüsseln, damit am Flughafen der neben mir sitzende WLAN-User das nicht abhören kann, weil das WLAN dort unverschlüsselt ist.

 

Wer das ein wenig besser haben will, nimmt halt PSW. Deutsche Firma, deutscher Support und den Schlüssel habe ich selbst erzeugt. Kostst auch nicht viel, aber eben mehr als "0 Euro".

[Alith Anar 40]

Wie Robert schon schrieb: 
Wenn du es nicht jedes HJahr neu machen willst, nimm PSW: http://www.psw.net/ssl-zertifikate.cfm

Für 4 Jahre Laufzeit bei einer Einzeldomain geht es ab 49 Euro los. Multidomain-Zertifikate für 4 Jahre ab 129 Euro.