Nimmt Outlook(Anywhere) automatisch das neue SAN Zertifikat beim Exchange2007 SAN-Zertifikatswechsel

[Marbl81 0]

Hallo zusammen,

 

Ich habe vor einen SAN-Zertifikatswechsel auf einem Exchange Server 2007 für den Dienst IIS für Outlook Anywhere durchzuführen. Mein Outlook Anywhere funktioniert bereits mit einem offiziellen SAN-Zertifikat von GoDaddy. Ich möchte das GoDaddy Zertifikat durch ein Zertifikat meiner eigenen internen Windows Zertifizierungsstelle (Windows-Root-CA) ablösen, da ich lokale TLDs für meine Domäne verwende (domain.local). Ich möchte kein Splitt-DNS verwenden. 

 

Ich habe mir bereits ein SAN-Zertifikat vom meiner Root-CA erfolgreich ausstellen lassen und es auf dem Exchange 2007 importiert. Es ist jedoch noch nicht aktiv geschaltet für den Dienst IIS.

 

Desweiteren haben meine Outlook Clients das Windows Root-CA im Speicher der "Vertrauenswürdigen StammZertifizierungsstellen", sowie beide SAN Zertifikate, (das ALTE GoDaddy-SAN-Zertifikat und das NEUE Windows-SAN-Zertifikat), im Speicher "Zertifikate - Aktueller Benutzer / Vertrauenswürdige Personen / Zertifikate".

 

Somit ist alles für den Zertifikatswechsel vorbereitet, denke ich.

 

Was passiert nun auf dem Outlook Client, der über Outlook Anywhere kommuniziert, sobald ich das NEUE Zertifikat auf dem Exchange 2007 für den Dienst IIS scharf schalte? Welches Zertifikat benutzt der Outlook Client? Meckert er, weil er noch beide Zertifikate im Speicher hat oder muss ich ihm manuell irgendwo mitteilen, dass er das NEUE SAN-Zertifikat verwenden soll oder macht er das vollautomatisch?

 

Danke Euch im voraus!

[RobertWi 81]

Ich möchte kein Splitt-DNS verwenden.

Warum? Split-DNS ist nicht umsonst empfohlen, weil es die Config und Troubleshooting deutlich vereinfacht.

 

Du würdest mit Split DNS zum Beispiele diese Frage hier gar nicht stellen, da die sich von alleine beantwortet.

 

Was passiert nun auf dem Outlook Client, der über Outlook Anywhere kommuniziert, sobald ich das NEUE Zertifikat auf dem Exchange 2007 für den Dienst IIS scharf schalte? Welches Zertifikat benutzt der Outlook Client? Meckert er, weil er noch beide Zertifikate im Speicher hat oder muss ich ihm manuell irgendwo mitteilen, dass er das NEUE SAN-Zertifikat verwenden soll oder macht er das vollautomatisch?

Beim Client passiert gar nichts. Die aktive Verbindung wird symetrisch verschüsselt. Ucd der Schlüssel bleibt, bis Server oder Client einen neuen wollen oder er abgelaufen ist. Und dann handeln Server und Client einen neuen Schlüssel aus.

 

Wenn der Client dem neuen Zertifikat vertraut (das kannst Du ja vorher testen), kannst Du Umschalten und fertig.

 

Im schlimmsten Fall muss der Anwender irgendwann Outlook ein mal neustarten.

[Marbl81 0]

Splitt-DNS werde ich bei unserer nächsten Exchange Migration mit abwickeln. Jetzt geht es mir einfach darum "Status Quo" zu bekommen, also altes gegen neues Zertifikat tauschen, ohne weitere Anpassungen an der Struktur.

 

Vielen Dank für die schnelle Antwort. Das war der einzige Punkt, wo ich noch bedenken hatte. Ich werde es dann im Laufe nächster Woche scharf schalten und berichten...

[Marbl81 0]

Ich habe das Zertifikat auf dem Exchange Server aktiviert. Alle Outlook Clients, die u.a. per Outlook Anywhere kommunizieren, haben die Verbindung zum Exchange / IIS-Dienst sauber hergestellt. Es war kein Neustart oder sonstiges nötig.

 

Vielen Dank!

[datmox 26]

Danke für die Rückmeldung! :thumb1: