magicpeter 11 Geschrieben 1. September 2015 Melden Teilen Geschrieben 1. September 2015 (bearbeitet) Hi, da ich immer wieder Verständnisprobleme mit den Exchange Server Zertifikaten habe und ich in google nicht die passende Erklärung finden konnte, wollte ich einmal das Forum fragen. Mit der Installation eines Exchange 2013 werden automatisch 3 Zertifikate eingerichtet: Beispiel: 1. Zertifikat Status : Valid Thumbprint : C1106547566CA50F2260EAE474AFE1EEEFBD90AE Services : SMTP ServicesStringForm : ....S.. NotAfter : 07.12.2018 16:48:57 NotBefore : 02.01.2014 16:48:57 CertificateDomains : {} 2. Zertifikat Status : Valid Thumbprint : 5EA5036FABA60B143CA098F4C2435AEC6E637617 Services : IIS, SMTP ServicesStringForm : ...WS.. NotAfter : 02.01.2019 16:46:48 NotBefore : 02.01.2014 16:46:48 CertificateDomains : {serverex, serverex.domain.local} 3. Zertifikat Status : Valid Thumbprint : 772A862DA7617BF89B3BEE707BC43905CA2EF4A8 Services : None ServicesStringForm : ....... NotAfter : 31.12.2023 15:40:35 NotBefore : 02.01.2014 15:40:35 CertificateDomains : {WMSvc-SERVEREX} Damit ist die interne Kommunikation abgesichert und es kann mit den Outlook Clients eine verschlüsselte Verbindung aufgebaut werden. Möchte ich jetzt noch eine gesicherte Verbindung über OWA oder externe Outlooks nutzen, erstellen ich ein weiteres Zertifikat über eine externe Zertifikatsstelle / Hersteller (GeoTrust,Comodo, etc.). Ich weis man kann auch für die interne Kommunikation externe Zertifikatsanbieter nutzen. Beispiel: 4. Zertifikat Status : Valid Thumbprint : B00E0AB94E12A73EEDB6C1EB1D59B863F854AC8C Services : IMAP, POP, IIS, SMTP ServicesStringForm : IP.WS.. NotAfter : 05.02.2018 00:59:59 NotBefore : 06.01.2015 01:00:00 CertificateDomains : {remote.domain.de} Die Zertifikate sind an die Domains gebunden für die Sie erstellt wurden. Mit dem Befehl in der Exchange Power Shell Get-ExchangeCertificate |fl status, thumb*, servi*, not*, certificated* kann ich mir alle Zertifikate anzeigen lassen. Läuft jetzt ein Zertifikat ab, dann erstellt man sich ein neues Zertifikat zum Beispiel über die Power Shell oder GUI. Das wurde hier schon erklärt. http://www.mcseboard.de/topic/194836-split-dns-funktioniert-nicht/page-3?do=findComment&comment=1278526 http://www.msblog.eu/exchange-2013-serverzertifikat-erstellen/ Es gibt nicht "das aktive" Cert. Es gibt nur Zertifikate mit Status "valid". Wenn dann die zertifizierte Domain zur Domain des Connectors/Services passt wird es genommen. Ist das soweit richtig? Zertifikate 1. und 3. haben aber keine CertificateDomains. Oder ist {WMSvc-SERVEREX} eine Domain? Wie gehe ich da vor, wenn ich diese erneuern muss? Besten Dank für euere Hilfe. bearbeitet 1. September 2015 von magicpeter Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 3. September 2015 Autor Melden Teilen Geschrieben 3. September 2015 (bearbeitet) Weis keiner was dazu zu sagen? Schade... Wäre eine echte Hilfe gewesen. :( Ich denke viele haben Probleme mit den Zertifikaten und deren Verwaltung/Erneuerung. bearbeitet 3. September 2015 von magicpeter Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 3. September 2015 Melden Teilen Geschrieben 3. September 2015 Nö, eigentlich total simpel. Es hängt davon ab an welche Services das Zertifikat gebunden ist. Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 3. September 2015 Autor Melden Teilen Geschrieben 3. September 2015 (bearbeitet) Das ist ja toll, dann ist ja alles klar. Es hängt also nur von der im Zertifikat hinterlegten Domains und zugeordnetem Service ab. Wenn es also eine Zertifikat mit der entsprechenden Domain gibt und das Zertifikat ist gültig, dann wird das Zertifikat genommen und der der Service funktioniert. Dann ist es ja einfach, wenn das wirklich alles ist. bearbeitet 3. September 2015 von magicpeter Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 3. September 2015 Melden Teilen Geschrieben 3. September 2015 Du weisst einem Dienst ein Zertifikat zu und dieses wird dann genutzt. Das kannst du auch in der IIS Konfiguration überprüfen (Nur überprüfen, nicht ändern!). Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 Moin, nein, ich kann Dir das auch nicht erklären, will aber hier meine aktuellen Erfahrungen kundtun... :suspect: Wir stellen gerade von Exchange 2007 um und eigentlich wäre ich ja auch schon fertig wenn, ja wenn, dass mit dem SSL Zertifikat klappen würde. Da ich mir mit der Konfiguration/Einrichtung des SSL-Zertifikates und nicht sicher war, habe ich zu meinem Glück/Unglück ein größeres Systemhaus mit der Einrichtung beauftragt (Zertifikatsinstallation/Einrichtung). Ist ja Alles sooo einfach, richtig!? :D Fakt ist, dass ein "Systemengineer" des Systemhauses jetzt schon einige Male versucht hat die Konfiguration unseres neuen Exchange sauber hinzubekommen. OWA läuft ohne Zertifikatsfehler. Im Augenblick gibt es beim Start von den Outlook-Clients aber immer noch die Fehlermeldung, dass das Zertifikat nicht zum Servernamen passt. Stimmt wohl was mit dem Autodiscover nicht... :cry: Ist ja nicht weiter schlimm, der "Systemengineer" hat ja nur einen Stundensatz von 150€! Bin echt mal gespannt, was das als Rechnung auf uns zu kommt, wenn der Spezialist, dass denn mal sauber zum laufen bekommt! Aber wie gesagt: Ist ja Alles sooo einfach, richtig!? :D Gruß Dirk Zitieren Link zu diesem Kommentar
NorbertFe 2.039 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 Ja ist es, oder hast du einen anderen Exchange als die, die ich normalerweise bei Kunden sehe? ;) Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 Bei einem Systemengineer Typ AA (Arbeitsamt) wundert mich nichts. Zertifikate sind wirklich nicht schwer, man muß sich aber wie immer einfach mal mit der Technik/Theorie befassen. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 So, jetzt läuft der Exchange mit dem Zertifikat. Und zwar ganz ohne Zertifikatsfehler. :D Der Systemengineer hat mir folgende Ursachen für das "Problem" bzw. die Dauer der Einrichtung genannt 1. Der Exchange hätte gleich bei der Installation mit den "richtigen" Domainnamen für OWA, usw. installiert werden müssen, da eine nachträgliche Umkonfiguration sehr "komplex" sei. 2. Bei "Ihren" Kunden normalerweise immer ein TMG oder eine UTM (Sophos) vorgeschaltet sei, die das Zertifikat hält und der Exchange somit nicht direkt im Web hängen würde und folglich auch gar kein Split DNS oder öffentliches Zertifikat auf dem Exchange benötigt würde. Zitieren Link zu diesem Kommentar
NorbertFe 2.039 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 zu 1. kommt drauf an. Ich mach das häufiger bei solchen vergniesgnaddelten Installationen und es kommt drauf an. Im Allgemeinen ist es absolut problemfrei und von "einigen" Zertifikatswarnungen abgesehen ist das schnell und unauffällig zu erledigen. zu 2. Wer Exchange verstanden hat, kann das in beiden Fällen. egal ob da jetzt ne reverse Proxy Lösung davor steht oder nicht. Bye Norbert 1 Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 Totaler Blödsinn von dem SE. Wenn die korrekten Namen in den Zertifikaten sind, die Zertifikate sauber sind, die URLs zu den Namen im Zertifikat (und umgekehrt) passen, dann klappt das. Selbst bei 2007 ist das nicht total komplex. Das man ein paar URLs nur per PoweShell anpassen kann, hat nichts mit Komplexität zu tun. Da hat sich ein SE für 150 €/h nur dumm angestellt. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 zu 1. kommt drauf an. Ich mach das häufiger bei solchen vergniesgnaddelten Installationen und es kommt drauf an. Im Allgemeinen ist es absolut problemfrei und von "einigen" Zertifikatswarnungen abgesehen ist das schnell und unauffällig zu erledigen. War wirklich nicht vergriesgnaddelt. :D War eine frische Basisinstallation parallel zu einem Ex2007. Nur waren die VZ für OWA, usw. bei der Installation noch nicht auf den Namen im Zertifikat angepasst. Totaler Blödsinn von dem SE. Wenn die korrekten Namen in den Zertifikaten sind, die Zertifikate sauber sind, die URLs zu den Namen im Zertifikat (und umgekehrt) passen, dann klappt das. Selbst bei 2007 ist das nicht total komplex. Das man ein paar URLs nur per PoweShell anpassen kann, hat nichts mit Komplexität zu tun. Da hat sich ein SE für 150 €/h nur dumm angestellt. Mag sein, dass der SE einfach immer sein Ding bei seinen Kunden durchzieht und daher die Einrichtung auch im Schlaf beherrschst. Und nun kommen plötzlich wir und wollen, dass er das SSL Zertifikat direkt auf dem Exchange einrichtet. :D Das hatte er lt. eigener Aussage so noch nie gemacht und das wäre auch sicherheitstechnisch höchst bedenklich einen Exchange direkt ins Internet zu hängen (Port 443). Na ja, damit werden wir dann erst mal leben müssen. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.039 Geschrieben 8. September 2015 Melden Teilen Geschrieben 8. September 2015 Naja auch da kommts halt immer auf die Anforderungen an. ;) Ich hätte mir von ihm mal die Vorteile/Nachteile aufzählen lassen. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.