5
Exchange 2007 Zertifikat erneuern, ersetzen?
Ich habe folgende Situation. Ich sehe das ich zwei Zertifikate auf dem Exchange Server habe. Vielleicht sind es auch mehr aber ich sehe nur diese.
Diese laufen in ca. einem Monat ab. Das heisst dann wird der Exchange Server ein massives Problem kriegen oder vermutlich nicht mehr weiterarbeiten.
Ich bin grundsächlich kein Exchange 2007 und PowerShell Spezialist aber ich wollte mal abklären was ich da tun muss bevor das eintritt.
Unsere Umgebung ist wie folgt aufgebaut:
Windows 2008 Standard 64 bit Server
MS Exchange 2007
Wir verwenden folgenden Dienste:
OWA über mail.firma.com (HTTPS
Active Sync für die Mobile Devices
Normaler Interner und Externer Mail Verkehr.
Momentan sind Thawte Zertifikate im Einsatz wollten aber in Zukunft http://www.psw.net/
Die Zertifikate sehen folgendermassen aus:
http://www31.zippyshare.com/v/17877982/file.html
Dies ist allerdings nur die sicht von der MMC aus.
Da ich das selber auch noch nie gemacht habe, bin ich dementsprechend unsicher.
Fragen könnt Ihr gerne stellen. Ich werde diese gerne beantworten.
Also:
1. Wie finde ich auf dem Exchange Server welche Zertifikate darauf sind?
2. Wie kann ich diese auch mit PowerShell anschauen?
3. Hat jemand Erfahrung mit psw.net Zertifikaten?
4. Wie muss ich ein internes Zertifikat erstellen?
5. Sollten ich wie jetzt ein Wildcard Zert lösen oder direkt benanntes wie mail.firma.com nehmen?
6. Wie muss ich das ganze mit PowerShell einbinden? (Ich weiss das geht nur mit Powershell)
7. Mit was für einem Aufwand muss ich für das ganze rechnen?
8. Wir spf Einträge machen lassen. Sind diese in irgend einer weise von den Zertifikaten betroffen?
9. Wieso braucht es ein internes Zertifikat?
Ich löchere Euch mit Fragen. Aber das letzte mal ist etwas dermassen schief gelaufen das die Firmenleitung null tolleranz erlaubt dieses mal.
Ich danke für Euer Verständniss.
Diese laufen in ca. einem Monat ab. Das heisst dann wird der Exchange Server ein massives Problem kriegen oder vermutlich nicht mehr weiterarbeiten.
Ich bin grundsächlich kein Exchange 2007 und PowerShell Spezialist aber ich wollte mal abklären was ich da tun muss bevor das eintritt.
Unsere Umgebung ist wie folgt aufgebaut:
Windows 2008 Standard 64 bit Server
MS Exchange 2007
Wir verwenden folgenden Dienste:
OWA über mail.firma.com (HTTPS
Active Sync für die Mobile Devices
Normaler Interner und Externer Mail Verkehr.
Momentan sind Thawte Zertifikate im Einsatz wollten aber in Zukunft http://www.psw.net/
Die Zertifikate sehen folgendermassen aus:
http://www31.zippyshare.com/v/17877982/file.html
Dies ist allerdings nur die sicht von der MMC aus.
Da ich das selber auch noch nie gemacht habe, bin ich dementsprechend unsicher.
Fragen könnt Ihr gerne stellen. Ich werde diese gerne beantworten.
Also:
1. Wie finde ich auf dem Exchange Server welche Zertifikate darauf sind?
2. Wie kann ich diese auch mit PowerShell anschauen?
3. Hat jemand Erfahrung mit psw.net Zertifikaten?
4. Wie muss ich ein internes Zertifikat erstellen?
5. Sollten ich wie jetzt ein Wildcard Zert lösen oder direkt benanntes wie mail.firma.com nehmen?
6. Wie muss ich das ganze mit PowerShell einbinden? (Ich weiss das geht nur mit Powershell)
7. Mit was für einem Aufwand muss ich für das ganze rechnen?
8. Wir spf Einträge machen lassen. Sind diese in irgend einer weise von den Zertifikaten betroffen?
9. Wieso braucht es ein internes Zertifikat?
Ich löchere Euch mit Fragen. Aber das letzte mal ist etwas dermassen schief gelaufen das die Firmenleitung null tolleranz erlaubt dieses mal.
Ich danke für Euer Verständniss.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 137145
Url: https://administrator.de/contentid/137145
Printed on: April 18, 2024 at 23:04 o'clock
5 Comments
Latest comment
Keiner eine Idee? Wenigstens auf ein paar Punkte die von der Geschichte betroffen sind.
Hallo,
die Zertifikate findest du im Server-Manager -> Rollen -> Webserver (IIS) -> (IIS)-Mananger
dann dort unter Verbindung, die Verbindung mit dem Server erweitern.
In Feld der Features, findest du mittig, bei den Features vom IIS den Reiter "Serverzertifikate".
Dort werden dir alle Zertifikate angezeigt.
Im Prinzip kannst du bei PSW dein neues Zertifikat wie folgt anfordern:
Die CSR per Powershell erstellen, dazu musst du wissen, ob du ein "SAN" Zertifikat benötigst,
sprich, ein Zertifikat, das auf mehrere Namen ausgestellt ist oder eben nur auf einen einzelnen Namen.
Falls es nur auf "mail.firma.tld" ausgestellt werden soll, also auf einen einzigen Namen, muss eben dieser Name explizit angegeben werden.
z.B.:
New-ExchangeCertificate
-GenerateRequest `
-SubjectName "c=DE, o=FIRMA, cn=mail.firma.tld" `
-privatekeyexportable $true `
-Path c:\msxfaq.de.req
Oder mit Hilfe vom IIS 7.0:
(siehe hier
http://www.digicert.com/csr-creation-microsoft-iis-7.htm
PSW ist definitiv eine gute Option, was Preise und Support betrifft.
Ich denke, das "Problem" wäre das Erstellen eine Anforderung (CSR) und Einbinden des Zertifikats mit Hilfe der Powershell oder eben dem IIS.
Mit der Powershell ist es etwas "komplizierter", falls unerfahren. Allerdings auch der bessere Weg...
Aber auch hier kann dir geholfen werden.
Gruß,
Ole
die Zertifikate findest du im Server-Manager -> Rollen -> Webserver (IIS) -> (IIS)-Mananger
dann dort unter Verbindung, die Verbindung mit dem Server erweitern.
In Feld der Features, findest du mittig, bei den Features vom IIS den Reiter "Serverzertifikate".
Dort werden dir alle Zertifikate angezeigt.
Im Prinzip kannst du bei PSW dein neues Zertifikat wie folgt anfordern:
Die CSR per Powershell erstellen, dazu musst du wissen, ob du ein "SAN" Zertifikat benötigst,
sprich, ein Zertifikat, das auf mehrere Namen ausgestellt ist oder eben nur auf einen einzelnen Namen.
Falls es nur auf "mail.firma.tld" ausgestellt werden soll, also auf einen einzigen Namen, muss eben dieser Name explizit angegeben werden.
z.B.:
New-ExchangeCertificate
-GenerateRequest `
-SubjectName "c=DE, o=FIRMA, cn=mail.firma.tld" `
-privatekeyexportable $true `
-Path c:\msxfaq.de.req
Oder mit Hilfe vom IIS 7.0:
(siehe hier
http://www.digicert.com/csr-creation-microsoft-iis-7.htm
PSW ist definitiv eine gute Option, was Preise und Support betrifft.
Ich denke, das "Problem" wäre das Erstellen eine Anforderung (CSR) und Einbinden des Zertifikats mit Hilfe der Powershell oder eben dem IIS.
Mit der Powershell ist es etwas "komplizierter", falls unerfahren. Allerdings auch der bessere Weg...
Aber auch hier kann dir geholfen werden.
Gruß,
Ole
huch das ist auf ersten blick komplexer als ich gemeint habe.
New-ExchangeCertificate
-GenerateRequest `
-SubjectName "c=DE, o=FIRMA, cn=mail.firma.tld" `
-privatekeyexportable $true `
-Path c:\msxfaq.de.req
Wie muss ich das eingeben? Bin kein Powershell guru.
Also so:
New-ExchangeCertificate -GenerateRequest ................. also alles nacheinander oder eines nach dem anderen wie oben?
-GenerateRequest `
-SubjectName "c=DE, o=FIRMA, cn=mail.firma.tld" `
-privatekeyexportable $true `
-Path c:\msxfaq.de.req
Wie muss ich das eingeben? Bin kein Powershell guru.
Also so:
New-ExchangeCertificate -GenerateRequest ................. also alles nacheinander oder eines nach dem anderen wie oben?
new-exchangecertificate
der folgende Link macht es vielleicht etwas klarer, warum keine Parameter übergeben werden müssen:
http://technet.microsoft.com/de-de/library/aa998327.aspx
Die allermeisten Exchangeinstallationen die ich kenne, kommen mit genau diesem Aufruf aus, um die Fehlermeldung zu unterdrücken, da eh kein TLS benötigt wird.
Damit die Fehlermeldungen auch endgültig verschwinden, sollte das abgelaufene Zertifikat noch entfernt werden. Mit get-exchangecertificate kann man sich die Zertifikate anschauen und mit remove kann man dann das abgelaufene Anhand des Namens entfernen.
ist da was dran???
bei unserem Kunden haben wir genau das gleiche Problem
*Update*
Ich habe es bei unserem Kunden nun via Exchange Shell einfach mal gemacht...
Das vorhandene Zertifikat ist am 23.06.2010 abgelaufen soll es überschrieben werden ?
Dann habe ich es mit yes beantwortet und nun steht drinne das das Zertifikat bis 25.06.2011 gültig ist ! Allerdings kommt immer noch die Warnmeldung bei den Clients
jemand ne Idee woran das nun noch liegen kann?
der folgende Link macht es vielleicht etwas klarer, warum keine Parameter übergeben werden müssen:
http://technet.microsoft.com/de-de/library/aa998327.aspx
Die allermeisten Exchangeinstallationen die ich kenne, kommen mit genau diesem Aufruf aus, um die Fehlermeldung zu unterdrücken, da eh kein TLS benötigt wird.
Damit die Fehlermeldungen auch endgültig verschwinden, sollte das abgelaufene Zertifikat noch entfernt werden. Mit get-exchangecertificate kann man sich die Zertifikate anschauen und mit remove kann man dann das abgelaufene Anhand des Namens entfernen.
ist da was dran???
bei unserem Kunden haben wir genau das gleiche Problem
*Update*
Ich habe es bei unserem Kunden nun via Exchange Shell einfach mal gemacht...
Das vorhandene Zertifikat ist am 23.06.2010 abgelaufen soll es überschrieben werden ?
Dann habe ich es mit yes beantwortet und nun steht drinne das das Zertifikat bis 25.06.2011 gültig ist ! Allerdings kommt immer noch die Warnmeldung bei den Clients
jemand ne Idee woran das nun noch liegen kann?
