wernbert 10 Geschrieben 5. September 2017 Melden Teilen Geschrieben 5. September 2017 Hallo zusammen! Da unsere aktuelle PKI nicht mehr dem Stand der Technik entspricht bauen wir aktuell gerade parallel eine neue 2 Stufige PKI auf. Die neue PKI bleibt selbstverständlich in der bestehenden AD. Da mir das Thema bisher immer eine wenig suspekt war meine Frage an die Experten: Welche Auswirkungen hat ein Wechsel der PKI auf Exchange? Verstehe ich das richtig, dass die neue Enterprise PKI ja dann automatisch am Exchange aufgrund der AD-Integration trusted ist? Danke vielmals für eure Tipps. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 5. September 2017 Melden Teilen Geschrieben 5. September 2017 Richtige Antwort ist - das kommt drauf an. Was für ein Zertifikat ist auf dem Exchange jetzt drauf, ein internes oder ein externes? Split-DNS? Welchen Exchange mit welchem Stand hast du? http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern (ist zwar für die Frage nicht relevant, aber...) ;) PS: NorbertFe ist im Urlaub... Zitieren Link zu diesem Kommentar
wernbert 10 Geschrieben 6. September 2017 Autor Melden Teilen Geschrieben 6. September 2017 Hy Nobbyaushb! Den Exchange Services ist ein Self-Signed zertifikat zugewiesen da im Vorfeld das SSL-Offloading am Loadbalancer erfolgt. Ja, Split-DNS ist im Einsatz Exchange 2016 CU5 ist im Einsatz. Wir nach Erscheinen von CU7 gleich angehoben... Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 6. September 2017 Melden Teilen Geschrieben 6. September 2017 Moin, ein Wechsel der PKI hat grundsätzlich keine anderen Auswirkungen als jeder andere Zertifikatswechsel. Relevant ist eher, an welcher Stelle du die Zertifikate denn einsetzen willst. Grundsätzlich gilt als Faustregel: Manche modernen Produkte setzen an bestimmten "absichtlich" Self-signed-Zertifikate ein. Das ist etwa bei ADFS so, bei Exchange meine ich auch, dass es solche Stellen gibt, dafür bin ich in dem Detail nicht tief genug drin. Wenn solche Konstrukte vorliegen, ist die Empfehlung i.d.R. dass man auch dabei bleibt. (Das lässt sich dann aus der Produktdokumentation ablesen.) Für die Kommunikation mit "außen" sind i.d.R. weder Self-signed noch eigene Zertifikate geeignet, sondern nur solche einer "offiziellen" CA. Damit erspart man sich für bestimmte Kommunikationstypen das Rollout der Root- und Intermediate-Zertifikate. Eine eigene PKI ist meist nur für interne Zwecke geeignet. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.