pworld
Goto Top

Exchange 2007 Zertifikat erneuern, ersetzen?

Ich habe folgende Situation. Ich sehe das ich zwei Zertifikate auf dem Exchange Server habe. Vielleicht sind es auch mehr aber ich sehe nur diese.
Diese laufen in ca. einem Monat ab. Das heisst dann wird der Exchange Server ein massives Problem kriegen oder vermutlich nicht mehr weiterarbeiten.

Ich bin grundsächlich kein Exchange 2007 und PowerShell Spezialist aber ich wollte mal abklären was ich da tun muss bevor das eintritt.

Unsere Umgebung ist wie folgt aufgebaut:
Windows 2008 Standard 64 bit Server
MS Exchange 2007

Wir verwenden folgenden Dienste:

OWA über mail.firma.com (HTTPSface-smile
Active Sync für die Mobile Devices
Normaler Interner und Externer Mail Verkehr.
Momentan sind Thawte Zertifikate im Einsatz wollten aber in Zukunft http://www.psw.net/

Die Zertifikate sehen folgendermassen aus:
http://www31.zippyshare.com/v/17877982/file.html

Dies ist allerdings nur die sicht von der MMC aus.


Da ich das selber auch noch nie gemacht habe, bin ich dementsprechend unsicher.

Fragen könnt Ihr gerne stellen. Ich werde diese gerne beantworten.

Also:

1. Wie finde ich auf dem Exchange Server welche Zertifikate darauf sind?
2. Wie kann ich diese auch mit PowerShell anschauen?
3. Hat jemand Erfahrung mit psw.net Zertifikaten?
4. Wie muss ich ein internes Zertifikat erstellen?
5. Sollten ich wie jetzt ein Wildcard Zert lösen oder direkt benanntes wie mail.firma.com nehmen?
6. Wie muss ich das ganze mit PowerShell einbinden? (Ich weiss das geht nur mit Powershell)
7. Mit was für einem Aufwand muss ich für das ganze rechnen?
8. Wir spf Einträge machen lassen. Sind diese in irgend einer weise von den Zertifikaten betroffen?
9. Wieso braucht es ein internes Zertifikat?

Ich löchere Euch mit Fragen. Aber das letzte mal ist etwas dermassen schief gelaufen das die Firmenleitung null tolleranz erlaubt dieses mal.

Ich danke für Euer Verständniss.

Content-ID: 137145

Url: https://administrator.de/forum/exchange-2007-zertifikat-erneuern-ersetzen-137145.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

pworld
pworld 03.03.2010 um 09:47:30 Uhr
Goto Top
Keiner eine Idee? Wenigstens auf ein paar Punkte die von der Geschichte betroffen sind.
ollembyssan
ollembyssan 03.03.2010 um 11:12:16 Uhr
Goto Top
Hallo,

die Zertifikate findest du im Server-Manager -> Rollen -> Webserver (IIS) -> (IIS)-Mananger
dann dort unter Verbindung, die Verbindung mit dem Server erweitern.

In Feld der Features, findest du mittig, bei den Features vom IIS den Reiter "Serverzertifikate".
Dort werden dir alle Zertifikate angezeigt.

Im Prinzip kannst du bei PSW dein neues Zertifikat wie folgt anfordern:

Die CSR per Powershell erstellen, dazu musst du wissen, ob du ein "SAN" Zertifikat benötigst,
sprich, ein Zertifikat, das auf mehrere Namen ausgestellt ist oder eben nur auf einen einzelnen Namen.

Falls es nur auf "mail.firma.tld" ausgestellt werden soll, also auf einen einzigen Namen, muss eben dieser Name explizit angegeben werden.

z.B.:

New-ExchangeCertificate
-GenerateRequest `
-SubjectName "c=DE, o=FIRMA, cn=mail.firma.tld" `
-privatekeyexportable $true `
-Path c:\msxfaq.de.req

Oder mit Hilfe vom IIS 7.0:

(siehe hierface-smile
http://www.digicert.com/csr-creation-microsoft-iis-7.htm


PSW ist definitiv eine gute Option, was Preise und Support betrifft.
Ich denke, das "Problem" wäre das Erstellen eine Anforderung (CSR) und Einbinden des Zertifikats mit Hilfe der Powershell oder eben dem IIS.
Mit der Powershell ist es etwas "komplizierter", falls unerfahren. Allerdings auch der bessere Weg...


Aber auch hier kann dir geholfen werden.

Gruß,

Ole
pworld
pworld 10.03.2010 um 16:20:25 Uhr
Goto Top
huch das ist auf ersten blick komplexer als ich gemeint habe.
pworld
pworld 12.03.2010 um 17:37:47 Uhr
Goto Top
New-ExchangeCertificate
-GenerateRequest `
-SubjectName "c=DE, o=FIRMA, cn=mail.firma.tld" `
-privatekeyexportable $true `
-Path c:\msxfaq.de.req

Wie muss ich das eingeben? Bin kein Powershell guru.

Also so:

New-ExchangeCertificate -GenerateRequest ................. also alles nacheinander oder eines nach dem anderen wie oben?
obliterator
obliterator 25.06.2010 um 09:09:38 Uhr
Goto Top
new-exchangecertificate

der folgende Link macht es vielleicht etwas klarer, warum keine Parameter übergeben werden müssen:

http://technet.microsoft.com/de-de/library/aa998327.aspx


Die allermeisten Exchangeinstallationen die ich kenne, kommen mit genau diesem Aufruf aus, um die Fehlermeldung zu unterdrücken, da eh kein TLS benötigt wird.
Damit die Fehlermeldungen auch endgültig verschwinden, sollte das abgelaufene Zertifikat noch entfernt werden. Mit get-exchangecertificate kann man sich die Zertifikate anschauen und mit remove kann man dann das abgelaufene Anhand des Namens entfernen.

ist da was dran???

bei unserem Kunden haben wir genau das gleiche Problem


*Update*
Ich habe es bei unserem Kunden nun via Exchange Shell einfach mal gemacht...
Das vorhandene Zertifikat ist am 23.06.2010 abgelaufen soll es überschrieben werden ?
Dann habe ich es mit yes beantwortet und nun steht drinne das das Zertifikat bis 25.06.2011 gültig ist ! Allerdings kommt immer noch die Warnmeldung bei den Clients face-sad jemand ne Idee woran das nun noch liegen kann?