shardas
Goto Top

Exchange 2010 Zertifikate: Zweck der Dienstzuordnung?

Hallo Communitykollegen,

leider kann ich nirgendwo eine technische Auskunft über dieses Thema finden. Was genau bezweckt es im Exchange dem Zertifikat Diensten zuzuordnen?
Ich habe hier einen Exchange 2010 welcher natürlich über ein Webzertifikat für das OWA verfügt. Das funktioniert auch, es ist aber kein "IIS" Dienst zugeordnet. Wozu also dem Zertifikat den IIS Dienst zuordnen wenn das OWA auch ohne Zertifikat mit IIS-Dienstzuordnung funktioniert?

Weiterhin frage ich mich was passiert wenn ich zwei Zertifikaten z.B. den SMTP Dienst zuordne? Sollte das nicht kollidieren? Woher weiß ich welches Zertifikat für das SMTP nun verwendet wird?

Danke und sonnige Grüße

Content-ID: 382834

Url: https://administrator.de/forum/exchange-2010-zertifikate-zweck-der-dienstzuordnung-382834.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

colinardo
colinardo 09.08.2018 aktualisiert um 15:36:42 Uhr
Goto Top
Servus.
Zitat von @Shardas:
leider kann ich nirgendwo eine technische Auskunft über dieses Thema finden. Was genau bezweckt es im Exchange dem Zertifikat Diensten zuzuordnen?
Jeder Dienst könnte unter einem anderem FQDN angesprochen werden, das bedingt ein entsprechendes Zertifikat welches den jeweilgen Namen im Common-Name oder als SAN beinhaltet. Ob WEB,POP,IMAP,SMTP jedes hat seinen eigenen Zweck und kann unter Umständen eben andere namentliche Anforderungen haben.
Ich habe hier einen Exchange 2010 welcher natürlich über ein Webzertifikat für das OWA verfügt. Das funktioniert auch, es ist aber kein "IIS" Dienst zugeordnet. Wozu also dem Zertifikat den IIS Dienst zuordnen wenn das OWA auch ohne Zertifikat mit IIS-Dienstzuordnung funktioniert?
Weiterhin frage ich mich was passiert wenn ich zwei Zertifikaten z.B. den SMTP Dienst zuordne? Sollte das nicht kollidieren? Woher weiß ich welches Zertifikat für das SMTP nun verwendet wird?
Get-ExchangeCertificate sagts dir welches Zertfikat welchen Diensten zugeordnet ist.
Mit Enable-ExchangeCertificate sagst du dem EX welches Zertifikat er für welchen Dienst er verwenden soll!! Im IIS solltest du nicht manuell das Zertfikat zuordnen sondern das obige CMDLet verwenden oder die ECP.

Grüße Uwe
Shardas
Shardas 09.08.2018 um 15:10:54 Uhr
Goto Top
Danke für die Antwort.

Zum ersten Teil:
habe ich beispielsweiße 3 Zertifikate mit drei verschiedenen FQDNs und jedes Zertifikat hat den IMAP Dienst aktiviert, geschieht die auslieferung des korrekten FQDN-Zertifikats automatisch an den Client?

Beim zweiten Absatz hast du mich glaube falsch verstanden. Ich habe nicht gefragt wie ich ein Zertifikat anzeigen oder ändern kann, das weiß ich.
Aber was für einen Vorteil hat es einem Zertifikat dem IIS zuzuordnen? Momentan hat keines der Zertifikate den IIS Dienst aktiviert, trotzdem funktioniert der Exchange und das OWA ohne Probleme.
colinardo
Lösung colinardo 09.08.2018 aktualisiert um 15:35:51 Uhr
Goto Top
Zitat von @Shardas:
Zum ersten Teil:
habe ich beispielsweiße 3 Zertifikate mit drei verschiedenen FQDNs und jedes Zertifikat hat den IMAP Dienst aktiviert,
Das geht nicht, es kann immer nur ein aktives Zertifikat für einen Dienst geben.
Nachdem Sie ein Zertifikat einem Dienst zugewiesen haben, können Sie die Zuordnung nicht entfernen. Wenn Sie ein Zertifikat für einen bestimmten Dienst nicht mehr verwenden möchten, müssen Sie dem Dienst ein anderes Zertifikat zuweisen, und dann das Zertifikat entfernen, das Sie nicht verwenden möchten.
https://docs.microsoft.com/de-de/exchange/architecture/client-access/ass ...

Aber was für einen Vorteil hat es einem Zertifikat dem IIS zuzuordnen?
Weil da viele Komponenten dran hängen!
TLS-Verschlüsselung für interne und externe Clientverbindungen, die HTTP verwenden. Dies umfasst Folgendes: 
AutoErmittlung 
Exchange ActiveSync 
Exchange-Verwaltungskonsole 
Exchange-Webdienste 
Offlineadressbuch-Verteilung 
Outlook Anywhere (RPC über HTTP) 
Outlook MAPI über HTTP 
Outlook im Web 

Momentan hat keines der Zertifikate den IIS Dienst aktiviert, trotzdem funktioniert der Exchange und das OWA ohne Probleme.
OWA &Co laufen auch erst mal wenn man manuell im IIS das Cert hinterlegt, weil die obigen Dienste ja alle auf dem IIS aufsetzen. Vermutlich habt ihr da manuell das Cert hinterlegt und die PS zeigt es dir jetzt einfach nicht an, sollte man am EX jedoch vermeiden, damit hier keine Inkonsistenzen entstehen.