HarryGhersack 1 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 Hallöle, ich hätte da zwei Fragen bezüglich SSL Zertifikate 1) Ich habe vor einem Jahr einen Test-Exchange Server in Betrieb genommen, den ich auch mit einem entsprechendem SSL Zertifikat ausgestattet habe (mail.domain.com & autodiscover.domain.com) Dieses läuft jetzt aus und ich möchte das Ganze um ein weiteres Jahr verlängern, allerdings von einem anderem Anbieter. Kann ich da einfach den CSR Request nehmen, den ich vor einem Jahr generiert habe ? Den kann ich nämlich in dem Portal unter CSR-Datei einsehen. 2) Den Exchange CSR Request habe ich damals aus dem Exchange Admincenter gemacht. Jetzt möchte ich aber noch zwei weitere SSL Zertifikate. Zum einem für mein RD-Gateway und für ein NAS. Da ich jetzt nicht der Linux Crack bin, würde ich die Requests gerne über den IIS erstellen. Sprich IIS starten --> Serverzertifikate --> Anforderung erstellen. Wäre der korrekte Weg, oder ? Viele Grüße Harry Zitieren Link zu diesem Kommentar
NorbertFe 2.072 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 vor 4 Minuten schrieb HarryGhersack: Kann ich da einfach den CSR Request nehmen, den ich vor einem Jahr generiert habe ? Den kann ich nämlich in dem Portal unter CSR-Datei einsehen. Kann man, würde ich aber nicht unbedingt tun. Einen neuen CSR zu generieren geht meiner Meinung nach am einfachsten so in der Exchange Powershell (auch für deinen zweiten Punkt nutzbar) Set-Content -path "c:\temp\mail_domain_com.txt" -Value (New-ExchangeCertificate -FriendlyName Exchange2022 -GenerateRequest -KeySize 2048 -SubjectName "c=DE, s=, l=Entenhausen, o=DeineFirma, ou=IT, cn=mail.domain.com" -DomainName autodiscover.domain.com mail.domain.com -PrivateKeyExportable $True) https://www.digicert.com/easy-csr/exchange2010.htm Pfade und Namen natürlich anpassen. 1 Zitieren Link zu diesem Kommentar
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Teilen Geschrieben 10. Januar 2022 Dank Dir, dann versuch ich mal mein Glück ;) Aber der Vollständigkeitshalber, per IIS würde das auch gehen, richtig ? Zitieren Link zu diesem Kommentar
NorbertFe 2.072 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 Nein im iis kann man afair keinen san angeben. Aber per mmc gehts auch. Zitieren Link zu diesem Kommentar
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Teilen Geschrieben 10. Januar 2022 Du meinst wegen mail.domain.com und autdiscover.domain.com ? Den IIS hatte ich nur auf die beiden anderen bezogen, also ts01.domain.com & nas.domain.com. Das wären ja zwei einzelne Zertifikate, welche dann keine alternative Namen haben Oder verstehe ich das falsch ? Zitieren Link zu diesem Kommentar
NorbertFe 2.072 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 Korrekt, da fügt das dann automatisch die Zertifizierungsstelle ein. Aber unabhängig davon, warum machst du es nicht einfach wie mit dem Exchange? Dann vergißt du nicht wie es geht :p Zitieren Link zu diesem Kommentar
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Teilen Geschrieben 10. Januar 2022 Anfangs dachte ich ja ich würde da einfach den "alten" csr nehmen aber dann werde ich das auf jeden Fall so probieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.072 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 Kann man machen, aber dann musst du das neue Zertifikat an den alten Key binden. Das geht unter Windows zwar auch, ist aber "fehleranfälliger", als einfach neu zu beantragen. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 Du kannst den csr im Exchange Admin Center erstellen. Zitieren Link zu diesem Kommentar
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Teilen Geschrieben 10. Januar 2022 Doch nochmal eine Frage... Hab mir gerade das Zertifikat angesehen, welches gerade ausläuft. Hier steht SAN im Paketpreis enthalten: Hauptdomain +3 Könnte ich also das eine auch für alle meine Dienste nehmen ? Also: mail.domain.com autodiscover.domain.com ts01.domain.com nas.domain.com Oder gibt es hier Unterschiede zu den einzelnen Diensten, weil das eine Exchange ist, das andere ein RD-Gateway und das andere ein NAS Webzugriff etc ? In Deinem Code heißt es ja auch: New-ExchangeCertificate -FriendlyName Exchange2022 Also gibt es da doch dann Unterschiede, oder ? Zitieren Link zu diesem Kommentar
NorbertFe 2.072 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 vor einer Stunde schrieb HarryGhersack: Den Exchange CSR Request habe ich damals aus dem Exchange Admincenter gemacht. vor 2 Minuten schrieb tesso: Du kannst den csr im Exchange Admin Center erstellen. Das weiß er und hat er auch. :) Aber auch dabei wird eben ein NEUER CSR generiert. Und ganz ehrlich, per Powershell gehts einfacher und schneller als per GUI in dem Fall. vor 1 Minute schrieb HarryGhersack: Doch nochmal eine Frage... Hab mir gerade das Zertifikat angesehen, welches gerade ausläuft. Hier steht SAN im Paketpreis enthalten: Hauptdomain +3 Könnte ich also das eine auch für alle meine Dienste nehmen ? Also: mail.domain.com autodiscover.domain.com ts01.domain.com nas.domain.com Oder gibt es hier Unterschiede zu den einzelnen Diensten, weil das eine Exchange ist, das andere ein RD-Gateway und das andere ein NAS Webzugriff etc ? In Deinem Code heißt es ja auch: New-ExchangeCertificate -FriendlyName Exchange2022 Also gibt es da doch dann Unterschiede, oder ? Könnte man machen. Hat den Vorteil, dass man nur ein Zertifikat hat. Hat den Nachteil, dass man nur ein Zertifikat hat. Läuft alles zum selben Datum ab, hat alles den selben private Key. Organisatorisch und sicherheitstechnisch spricht also viel für "nicht das selbe Zertifikat" auf verschiedenen Servern nutzen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 Ich wäre bei Norbert - es heißt ja nicht umsonst "Subject" Alternate Name und nicht "Host" Alternate Name Auch wenn es genügend gibt, die mit randalierenden Wildcard-Zertifikaten arbeiten (bis vor kurzem wußte ich noch nicht, daß ein SAN nicht nur ein Hostname oder "einfache Wildcard" sein kann, sondern RegEx... ) Zitieren Link zu diesem Kommentar
HarryGhersack 1 Geschrieben 12. Januar 2022 Autor Melden Teilen Geschrieben 12. Januar 2022 Naja... Hab mich jetzt für ein Zertifikat mit den verschiedenen SAN's entschieden und das Zertifikat bereits gekauft... Jetzt habe ich beim Import allerdings noch eine Frage. Ich habe die Zertifikate heruntergeladen (certificate.crt, intermediate1.crt & root.crt) aber wenn ich die irgendwo hinterlegen will, benötige ich immer den Privaten Schlüssel. Wie komme ich an den oder an eine .key Datei ? Zitieren Link zu diesem Kommentar
NorbertFe 2.072 Geschrieben 12. Januar 2022 Melden Teilen Geschrieben 12. Januar 2022 vor 19 Minuten schrieb HarryGhersack: benötige ich immer den Privaten Schlüssel. Ja logisch. Der liegt da, wo du den CSR angelegt hast im Key-Store. Und wenn du es per Powershell wie oben dargestellt erledigt hast, kannst du das Zertifikat von diesem Server inklusive private Key exportieren. ;) Das Prinzip mit Zertifikaten ist echt technisch viel einfacher, als sich das die meisten vorstellen. Zitieren Link zu diesem Kommentar
HarryGhersack 1 Geschrieben 12. Januar 2022 Autor Melden Teilen Geschrieben 12. Januar 2022 Ok verstehe, also halb ^^ Hab jetzt auf dem Exchange das Zertifikat in eine Datei exportiert und hier konnte ich wählen, dass der Private Schlüssel mit exportiert werden soll. Dafür musste ich dann ein Kennwort eingeben, soweit so gut. Im RD Gateway konnte ich das .pfx auswählen und mit dem vorher vergebenen Passwort hinterlegen, klappt super. Auf dem NAS habe ich allerdings keine Möglichkeit ein Kennwort einzugeben sondern nur folgende Möglichkeiten: Zertifikat: Privater Schlüssel: Zwischenzertifikat: und halt immer nur die Möglichkeit etwas hochzuladen. Wie bekomme ich den Schlüssel als key-Datei ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.