Exchange 2010 - TLS

[NorbertFe 2.041]

Bietet sich an, aber wenn du das nur für SMTP willst, reicht auch der Name für den SMTP Service im Zertifikat.

[Moped 11]

boahhh, das Thema zertifikate ist echt ein Buch mit sieben siegeln

 

Muss nochmal nachfragen da ich aus den ganzen Technet.Artikeln überhaupt nicht schlau werde :mad: :eek:

 

Norbert sagt ja dass es sich anbietet ein Cert zu kaufen welches die gleichen Angaben hat wie mein selbst signiertes

 

jetzt komme ich mit den angaben die in dem Technet Artikel aufgeführt sind nicht klar

$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1

Was genau ist denn der SubjectName?

Was muss als DomainName rein? der MX Eintrag?

 

oder macht es mehr sinn das vorhandene Zertifikat einfach zu erneuern?

$Data = Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate -GenerateRequest -SubjectName "C=us, O=contoso corp, CN=mail1.contoso.com" 
Set-Content -Path "c:\ certificates\mail1.contoso.com.req" -Value $Data

Hie dann auch wieder die Frage, was ist der SubjectName? was muss da rein?

 

Sorry wenn ich sooft nachfrage, aber ich finde da nicht wirklich (für mich) verständliche Aussagen :unsure:

[NorbertFe 2.041]

Cn=subjectname und san=weitere Namen. Wieso versuchst du es nicht einfach mal. Musst ja nicht gleich eins kaufen, aber die Fragen sind doch ziemliche Grundlagen beim Thema zertifikate. Und ob du es erneuerst oder nicht ist doch davon abhängig was du erreichen willst, oder?

[Moped 11]

ja, es ist richtig, dass das Grundlagen sind :thumb1:

nur wenn man die nicht hat, sich aber damit beschäftigen möchte/muss, es aber nicht versteht, dafür dachte ich wären solchen Foren hilfreich

 

Da du aber meine fragen nicht beantworten magst (z.B. was ist der Subjectname?) hilft mir das nicht weiter. :nene:

Und einfach so versuchen, ohne es zu verstehen ist bei "Operationen am offenen Herzen" nicht immer günstig

 

Evtl drücke ich mich ja auch schlecht aus oder du verstehst mich nicht

 

Aber trotzdem danke, evtl kann mir ja jemand anderes behilflich sein

[NorbertFe 2.041]

-SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com (in den von dir geposteten BEfehlen steht doch drin, was was ist) Hast du dir denn das jetzige Zertifikat mal angeschaut (bspw. im Browser)? Da sollte sich CN und Alternativer ANtragssteller doch recht schnell zeigen.

 

Ehrlich gesagt versteh ich dein Problem tatsächlich nicht, mag an deiner Frage oder Unkenntnis liegen. Du hast doch jetzt ein Zertifikat. Das kann TLS jetzt ja auch. Also kannst du doch eigentlich alles jetzt testen.

[Moped 11]

Hi Norbert,

 

danke wieder was gelernt :thumb1:
habs mir angeschaut, in der Tat steht es da drinne :cool:

Hilft mir schon mal weiter :jau:

 

Ja, ich habe ein Zertifikat, aber halt selbst Signiert, du meintest aber dass es besser sei ein öffentliches zu nehmen

Das wollte ich einrichten/kaufen

 

Muss dann nur noch die "Certificate Domains" mit Angeben denke ich

[Moped 11]

Hallo und guten Morgen,

 

ich bin jetzt soweit um das Zertifikat zu beuftragen

Dazu noch eine Frage

 

Unsere AD Domäne heisst "Netz.Firma.de"; die Mailadresse lautet aber "@Firma.net" (das ist alles aus der Historie und von vor meiner Zeit)

 

In dem derzeitigen (selbst signierten Zertifikat) stehen folgende Domänennamen eingetragen

netz.Firma.de, 
Mailserver.netz.Firma.de, 
mail.Firma.net, 
mail.netz.Firma.net, 
mail.Firma.de, 
mail.netz.Firma.de, 
Firma.net, 
netz.Firma.net, 
autodiscover.netz.Firma.de

Müssen die alle so eingetragen sein?
Was ist davon ist richtig und was überflüssig?

[NorbertFe 2.041]

Ach menno, wie wird der Host angesprochen? Der Name muss rein. Interne Namen kannst du sowieso nicht mehr ins Zertifikat aufgenommen werden.

[Moped 11]

Also im Sendeconnector steht "mail.Firma.net"

Im Empfangsconnector steht "Servername.netz.Firma.de"

Der MX Eintrag zeigt auf "mail.Firma.net"

 

Muss ich denn für den Internen Zugriff von Outlook keinen anderen Eintrag im zertifikat haben?

 

Sorry wenn ich so oft nachfrage, aber ich finde im Web keine vernünftige/verständliche erklärung zu dem Thema, immer nur so allgemeine Erklärungen :nene:

[NorbertFe 2.041]

Der Empfangsconnector und der Sendeconnector sollten den selben EHLO Namen verwenden, bzw. einen EHLO Namen der auf jedem Fall im Zertifikat steht. Outlook braucht dieses SMTP Zertifikat NUR wenn du per SMTP Konto in Outlook sendest. Für Outlook ANywhere kannst du auch ein beliebiges anderes Zertifikat nehmen, was zu deiner Umgebung paßt. Im Web findet man schon die richtigen Anleitungen, wobei das eher mit Name Space Planung in Exchange zu tun hat als mit Zertifikaten (deren Funktionsweise sollte man natürlich kennen).

 

Bye

Norbert

[Moped 11]

Ok, danke nochmal

Um es jetzt mal auf den Punkt zu bringen

 

Wenn ich den EHLO Namen am Empfangsconnector ändern möchte kommt folgender Fehler

Set-receiveconnector
Fehler
Fehler:
Wenn der Parameter 'AuthMechanism' eines Empfangsconnectors auf den Wert 'ExchangeServer' festgelegt ist, muss der FQDN-Parameter auf dem Empfangsconnector auf einen der folgenden Werte festgelegt werden: der FQDN des Transportservers 'Servername.netz.Firma.de', der NetBIOS-Name des Transportservers 'Servername' oder '$null'.

Also lasse ich den Namen erst mal so

 

Ich beauftrage jetzt ein Zertifikat mit den Namen "Servername.netz.Firma.de" und Mail.Firma.net

Das sind die beiden namen in den beiden Connectoren

Dann binde ich das Zertifikat an den SMTP Dienst

Das vorhandene Zertifikat bleibt doch dann an die anderen Dienste IIS, POP, IMAP gebunden, oder?

 

Wäre das so alles richtig?

[NorbertFe 2.041]

Dann bau dir nen neuen Empfangsconnector dem gibst du die Einstellungen anonym und erstmal irgendeine remote-IP. Danach änderst du im Default Connector die Remote IP Kreise auf deine internen Bereiche ab und gibst das was da bisher drin stand im neuen Connector ein. Schiebepuzzel kennst du? ;)

 

Bye

Norbert

[Moped 11]

so, wieder einen Schritt weiter (aber das Thema Zertifikate ist schwierig)

Deshalb wieder eine Frage

 

Ich habe jetzt 2 Zertifikate bekommen, beide haben die Endung .pem

das eine ist das eigentliche SAN Zertifikat, das andere ist das Zertifikat der Zertifizierungskette (hat ein "Chain" im Namen)

 

Jetzt habe ich mich eingelesen und (denke) rausgefunden, dass ich die Zertifikate "Zusammenführen" muss und in *.p7b konvertieren.

Das habe ich auch schon mal gemacht

Ist es jetzt rchtig, dass ich nun mit

Import-ExchangeCertificate -Path c:\mein_Cert.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"

das Zertifikat importiere und an die entsprechenden Dienste binde?

 

Oder ist es falsch die *.pem Zertifikate nach p7b zu konvertieren?

bearbeitet 18. Februar 2015 von Moped

[NorbertFe 2.041]

Die Kette ist egal, die kann man auch nachträglich importieren. Wichtig ist der Import des Zertifikats mit dem privaten Schlüssel. Das kannst du alss p7b oder als pfx mit openssl in das Format übertragen, welches dir besser gefällt.

 

Bye

Norbert

 

PS: Der Teil vom Thema Zertifikate ist wirklich der einfache. ;)

[Moped 11]

hi Norbert

 

PS: Der Teil vom Thema Zertifikate ist wirklich der einfache. ;)

 

Das sagst du, ich versuche micht gerade da reinzuarbeiten :confused: :nene:

 

Also, ich habe auf der Seite

https://www.sslshopper.com/ssl-converter.html

die beiden *.pem Zertifikate in ein *.p7b Zertifikat umgewandelt

Oder siehst du ein Vorteil darin die Zertifikate Einzeln zu importieren? Ich dachte es ist einfacher so, alles in einem "Rutsch" :rolleyes:

In dem erstellten p7b Zertifikat sollte doch der private Schlüssel mit drinne sein, oder? :confused:

 

 

Edit: hätte ich bei dem request noch die Parameter -KeySize 1024
-PrivateKeyExportable: $true angeben müssen?

bearbeitet 19. Februar 2015 von Moped