Exchange 2010 - SAN Zertifikat

[Squire 276]

Hi,

 

das Wildcard kannst Du verwenden - hatte ich in der alten Firma auch am laufen. Ging bei mir problemlos mit nem 2010er und später 2013er Exchange mit veröffentlichen OWA, Outlook Anywhere und Activesync für die Mobiles

bearbeitet 6. Juli 2016 von Squire

[NorbertFe 2.167]

Das stand auch nie in Frage. ;)

[FETT 10]

Hmmm...

wenn ich das Wildcard Zertifikat importiere, macht er das zwar, aber dann steht dahinter "Das Zertifikat ist für die Exchange Server-Verwendung ungültig."

Im Betreff steht "CN=*.domäne.de, OU=Domain Control Validated"

 

Was läuft da falsch?

Wie importiere ich das Wildcard Zertifikat richtig?

[testperson 1.759]

Wie importierst du das Zertifikat denn?

Kannst du es über eine MMC mit dem Zertifikate Snap-In im Computer Kontext importieren?

Beinhaltet das zu importierende Zertifikat auch den privaten Schlüssel? Oder hast du einen neuen CSR generiert und an die CA eingereicht?

[FETT 10]

Das Zertifikat ist ja schon bei uns vorhanden. Ja es hat auch einen privaten Schlüssel.

 

Ich habe es jetzt ganz einfach probiert auf der Exchange Konsole.

Neues Exchange Zertifikat importieren. Aber so wird das nicht klappen.

 

Wo soll ich es importieren?

Also in "Eigene Zertifikate" oder "Vertrauenswürdige Stammzertifizierungsstellen"?

[testperson 1.759]

Ist das Zertifikat eine "Vertrauenswürdige Stammzertifizierungsstelle" oder ist es für den Computer ein "Eigenes Zertifikat"?

[FETT 10]

Sorry hab mit Zertifikaten noch nie viel gemacht.

Aber da es von GoDaddy ist denke ich "Vertrauenswürdige Stammzertifizierungsstelle"

Ich habe jetzt die pfx importiert mit dem Passwort.

Ich könnte auch das crt File importieren, da will er aber kein Passwort?!?

[testperson 1.759]

Gut, dann hast du es falsch gemacht. GoDaddy ist die RootCA, du hast da ein "eigenes Zertifikat" für den Exchange.

Wobei in dem PFX vermutlich auch die Zertifikatskette drin ist.

bearbeitet 7. Juli 2016 von testperson

[FETT 10]

Ok.

Wie mache ich es richtig?

[testperson 1.759]

Der erste Schritt, wäre vielleicht sich mit den Grundlagen auseinander zu setzen. Dann könnte man das Zertifikat als "Eigenes Zertifikat" im Computer-Kontext importieren.

Das könnte man auch in einer administrative Shell mit "certutil -p <mein_geheimes_Geheimwort> -importPFX <Pfad_zum_PFX>", der EMS oder in der Zertifikate MMC machen

[FETT 10]

Ja das habe ich schon gemacht.

Habe unter Eigene Zertifikate das pfx importiert.

In der Exchange Konsole taucht es dann auch wieder auf.

Aber es steht wieder "Das Zertifikat ist für die Exchange Server-Verwendung ungültig." dran.

 

Edith:

in der Exchange Shell taucht es bei get-ExchangeCertificate auch auf.

bearbeitet 7. Juli 2016 von FETT

[NorbertFe 2.167]

Wahrscheinlich, weil es entweder nicht gegen die CRL geprüft werden kann, oder weil es zurückgezogen wurde.

[FETT 10]

Wie kann das sein?

Es ist ein gültiges Zertifikat und ist auch auf anderen Servern im Einsatz ohne Probleme.

[NorbertFe 2.167]

Das waren zwei Möglichkeiten. Prüf das doch einfach. Wenn es nicht zurückgezogen wurde, bleibt noch die andere Möglichkeit, dass der Exchange es nicht prüfen kann.

[FETT 10]

Ja, da hast du recht!!

 

Bin da jetzt auch a bissel weitergekommen:

Aber es steht jetzt folgendes dabei: "Der Zertifikatsstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung keinen Erfolg hatte."

 

Dr Google sagt winhttp proxy Problem.

Hier habe ich nun unseren Proxy eingetragen, jedoch ohne Erfolg.

Auch den bypass habe ich mit "*.interne.domäne" angegeben, auch ohne Erfolg.

 

Habe die Einstellungen vom IE übernommen, ohne Erfolg.

 

Kann es jetzt noch an der Firewall hängen?