Jump to content

Outlook mit Exchange - interne PKI außer Betrieb nehmen

RalphT

Von RalphT
in MS Exchange Forum

Direkt zur Lösung Gelöst von cj_berlin,

Empfohlene Beiträge

RalphT Mentor

RalphT   15

Geschrieben
Geschrieben

Moin,

ich wollte in einer AD-Umgebung die 2-stufige Zertifizierungstelle außer Betrieb nehmen. Der Exchangeserver hat von dieser Stelle auch ein Zertifikat.
Ein Punkt bei der außer Betriebnahme ist, dass alle ausgestellten Zertifikate für ungültig erklärt werden.

Wie reagiert Outlook darauf? Gibt es nur eine Zertifikatswarnung oder stellt Outlook seinen Dienst ein?

cj_berlin Veteran

cj_berlin   1.408

Geschrieben
Geschrieben
vor 50 Minuten schrieb RalphT:
 

Moin,

ich wollte in einer AD-Umgebung die 2-stufige Zertifizierungstelle außer Betrieb nehmen. Der Exchangeserver hat von dieser Stelle auch ein Zertifikat.
Ein Punkt bei der außer Betriebnahme ist, dass alle ausgestellten Zertifikate für ungültig erklärt werden.

Wie reagiert Outlook darauf? Gibt es nur eine Zertifikatswarnung oder stellt Outlook seinen Dienst ein?

Es kommt darauf an, wie Dein Plan aussieht. Du müsstest ja, um die Außerbetriebsetzung abzuschließen, auch das Vertrauen zum Root entfernen. An dieser Stelle ist es dann egal, ob die Zertifikate zurückgezogen wurden oder nicht. Wenn Du möchtest, dass der Zertifikatsstatus überhaupt geprüft wird, musst Du das Vertrauen in das Root-Zertifikat aufrecht erhalten, solange ein von der PKI signiertes Zertifikat noch im Umlauf ist.

In jedem Fall wird es Fehlermeldungen geben. Wie von @Dukel angemerkt, zuerst alle Zertifikate tauschen, DANN die PKI abbauen, nach welchem Schema auch immer.

  • Danke 1
RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Der Plan wäre, dann danach eine neue PKI aufzusetzen.

 

Ich glaube ich mache das so, dass ich vorher ein selbstsigniertes am Exchange erstelle. Dann bekommen die Mitarbeiter eine Zertifikatsnachricht, die dann in den vertrauenswürdigen Speicher installiert werden müsste. Danach wäre ja wieder Ruhe.

Anschließend kann ich dann die neue PKI aufsetzen und dem Exchange wieder ein Zertifikat aus der neuen PKI geben. Das würde dann beim Mitarbeiter geräuschlos funktionieren.

 

Meine Frage zielte daher nur darauf ab, ob es nur eine lästige Zertifikatswarnung geben würde. Damit könnte man kurzfristig leben.

bearbeitet von RalphT
RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben
vor 8 Minuten schrieb Dukel:

Wieso installiert man nicht erst eine neue CA? Wieso die alten abbauen?

 

Ich hatte nur vor Augen, dass ich keine Lust hatte, zwei neue Server aufzusetzen.

Die alte CA eine Schlüssellänge von 2.048. Das soll geändert werden.

NorbertFe Grand Master

NorbertFe   2.175

Geschrieben
Geschrieben
vor 56 Minuten schrieb RalphT:

Dann bekommen die Mitarbeiter eine Zertifikatsnachricht, die dann in den vertrauenswürdigen Speicher installiert werden müsste

Das is nu ausgerechnet die ungünstigste Methode von allen. Wieso nicht wie bereits vorgeschlagen, parallel aufbauen? Selfsigned würd ich mir schon allein deswegen ersparen. Habt ihr da eine nicht öffentliche Domain drin oder warum nicht einfach eins kaufen?

Ansonsten könnte man notfalls das selfsigned natürlich auch per GPO an die Windows Kisten verteilen und per MDM an alle anderen.

 

Bye

Norbert

vor 43 Minuten schrieb RalphT:

Die alte CA eine Schlüssellänge von 2.048. Das soll geändert werden.

Dann setz sie halt hoch und erneuere das Root Zertifikat.

RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben
vor 35 Minuten schrieb cj_berlin:

Die Schlüssellänge kannst Du auch ohne Neuinstallation ändern. Musst halt die CA-Zertifikate neu ausstellen, aber dann hast Du sogar fortlaufende Historie.

Dann habe ich wohl falsch gedacht. Ich dachte, dass bei der Installation nach der Schlüssellänge gefragt wird. Daher bin ich jetzt davon ausgegangen, dass der Wert mit dieser Installation fest ist und nicht mehr verändert werde kann.

v-rtc Veteran

v-rtc   92

Geschrieben
Geschrieben
vor 4 Stunden schrieb testperson:

 

Wenn bspw. nur ein bisschen Web Server Kram anfällt, dass per gekaufter Zertifikate / Let's Encrypt abfrühstücken. (Ggfs. passt ja auch die Microsoft Cloud PKI oder ein anderer "PKI as a Service" Anbieter.)

Wie gut sind denn die Service bzw MS PKI im vergleich zu internen? Gerne auch ein Blog. Dankeschön Euch beiden

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...