ingenieuridee
Goto Top

SBS2008 Umstellung von SHA1 auf SHA2 (256 bit) Verschlüsselung

Hallo,


wird verwenden einen kleinen SBS2008. Die Mitarbeiter greifen über die Remote Verbindung auf OWA und SharePoint zu. Alle rufen über Blackberry die Exchange Emails ab. Dies ist insgesamt mit einem GoDaddy SHA1 Zertifikat gesichert. Dieses endet in 2016.

Auf dem Server laufen zwei SQL Datenbanken, Fax, Symantec BackupExec sowie MailSecurity etc. Er läuft schön rund. ... Ich möchte diesen aus meiner Sicht laufwürdigen Zustand beibehalten. Leider habe ich nach Recherche von zig Quellen bisher keine Möglichkeit gefunden, wie ich in den SBS2008 ein SHA2 Zertifikat von GoDaddy laden kann.

Kann mir jemand weiterhelfen? Geht es überhaupt oder ist Windows Server 2008 als Basis nicht dazu in der Lage. Außerdem ist ja insgesamt bekannt, dass der SBS2008 manuelle Änderungen außerhalb der Assistenten nicht wirklich mag.

Schönen Tag allen Lesern dieser Frage. Danke für den Gedanken ob Ihr helfen könnt.

Holger

Content-ID: 265348

Url: https://administrator.de/forum/sbs2008-umstellung-von-sha1-auf-sha2-256-bit-verschluesselung-265348.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

goscho
goscho 05.03.2015 um 17:57:49 Uhr
Goto Top
Hi Holger,

leider habe ich wenig Zugriff auf SBS2008, um dir wirklich Auskunft geben zu können.

Prinzipiell kommt Windows 2008 (VIsta Basis) mit SHA2 klar: SHA2 and Windows
Allerdings ist es ja eher eine Frage der Applikationen, die dieses nutzen, hier der IIS7.

Ich habe hier eine Anleitung für Symantec SSL-Zertifikate gefunden. Eventuell hilft dir dies auch für dein godaddy-Zertifikat.

Außerdem ist ja insgesamt bekannt, dass der SBS2008 manuelle Änderungen außerhalb der Assistenten nicht wirklich mag.
Das stimmt so überhaupt nicht!
Richtig ist, dass der SBS für (Teilzeit-) Admins mit weniger Erfahrung gedacht ist und die Assistenten diesem die meiste Arbeit abnehmen.
Alles, was so ein Assistent macht, ist in irgend einer Form auch ohne diesen zu bewerkstelligen.

Du solltest so vorgehen, wie in dieser Anleitung beschrieben, dann klappt das auch mit deinem Zertifikat auf dem SBS.
ingenieuridee
ingenieuridee 05.03.2015 um 18:22:29 Uhr
Goto Top
Hallo goscho!

vielen Dank für Deine Hinweise und dein "das stimmt so überhaupt nicht" und machbar ist manuell alles Hinweis face-wink

Einzig ist mir die funktionsweise nicht ganz klar.

Der IIS 7 erhält ein neues SHA 2 Zertifikat für die Standarddomäne remote.company.web. Woher weiß jetzt der Exchange 2007 Server, dass er auch mit diesem Zertifikat arbeiten darf/muss/soll.

Wenn ich das Verstehen könnte, würde mir sehr geholfen sein und anderen vielleicht auch.

bye
keine-ahnung
keine-ahnung 05.03.2015 um 18:54:02 Uhr
Goto Top
Moin,
Das stimmt so überhaupt nicht!
doch, das stimmt schon. Die zerschossenen SBS allein hier im Forum sind mahnendes Zeugnis genug face-wink. Und solange Bill den Quellcode für den SBS-Manager nicht offenlegt ...
Der IIS 7 erhält ein neues SHA 2 Zertifikat für die Standarddomäne remote.company.web. Woher weiß jetzt der Exchange 2007 Server, dass er auch mit diesem Zertifikat arbeiten darf/muss/soll.
Der Exchange kann das Zertifikat gar nicht nutzen, da es nicht seine domain abdeckt ... Du brauchst ein wildcard- (multidomain-) Zertifikat für XXX.company.web.
Außerdem ist ja insgesamt bekannt, dass der SBS2008 manuelle Änderungen außerhalb der Assistenten nicht wirklich mag.
Was spricht dagegen, das neue Zertifikat über den Assi reinzufüttern ...???

LG, Thomas
ingenieuridee
ingenieuridee 05.03.2015 um 20:07:18 Uhr
Goto Top
Moin, moin Thomas,


die spannende Frage ist tatsächlich ob über den Assistenten vom SBS die Datei für den Zertifikatsausgeber erzeugt werden kann. Ich kann das auf dem Produktivsystem leider nicht vorher checken. Da ist mein Respekt einfach zu groß, die Konfiguration vollständig zu zerschießen. Für ein Testsystem fehlt mit leider voll die Zeit.

Ich glaube nicht das der Assistent den benötigten 2048er Schlüssel erzeugt. Reinlesen wäre dann Fehlanzeige. Aber ich weiß leider auch nicht wie es dann korrekt ablaufen würde ohne den SBS zu beschädigen.

Wildcard oder Mutidomain ist eigentlich - glaube ich zumindest - nicht nötig. Bisher komme ich auch "nur" mit dem remote.company.web Zertifikat aus. Sonst gibt es ja auch nix.

Ach wie gerne würde ich es einfach ausprobieren und dann posten.

Ciao!
keine-ahnung
keine-ahnung 05.03.2015 um 20:13:20 Uhr
Goto Top
Bisher komme ich auch "nur" mit dem remote.company.web Zertifikat aus.
Ich bin jetzt ein paar Minuten aus dem SBS 2008 raus ... aber der hat keine eigene mail-domain?? Deine mail-Adresse lautet ergo müller@remote.company.web ...??? Klingt komisch ... und unglaubwürdig face-wink.
Ich glaube nicht das der Assistent den benötigten 2048er Schlüssel erzeugt.
Ich kenne einen Landeskirchenoberrat, für mich ist der Fachmann in allen Glaubensfragen. Nur würde ich mir von dem keinen Taschenrechner programmieren lassen ... worauf gründet Dein Glaube?
Für ein Testsystem fehlt mit leider voll die Zeit.
Dann hast Du ein Problem ... virtualisiert ist so eine Büchse doch recht schnell? Und: Dem Inscheniör ist nüscht zu schwör! Oder?

LG, Thomas
ingenieuridee
ingenieuridee 05.03.2015 um 20:32:05 Uhr
Goto Top
Die Domainnamen werden extern gehostet und entsprechend auf den Server geschickt. Also lautet die Emailadresse @ichglaubeschonimmerdran.de face-wink

Ja. Ich habe ein Problem... und nun die Lösung. Ich würde es tatsächlich virtualisieren. Aber ich kann ja nun leider nicht beliebig oft für das Zertifikat Schlüssel anfragen und insbesondere nicht für ein System, welches ich nur zum Test verwende. Außerdem gilt ab dann ja nicht mehr das gültige SHA1 Zert. Also habe ich da so gut wie keinen Gewinn.

Vermutlich werde ich deshalb unmittelbar vorher ein Image anlagen; Exchange ruhig stellen; Zertifikat anfragen und hoffen das ich schnell den Schlüssel erhalte. Tja und Sonderurlaub für Alle. Dann kann der Landeskirchenoberrat aushelfen und dazu singe "Über tausend Krücken muss du gehen, sieben Server überstehen"

Vielleicht habe ich noch etwas übersehen um mehr Handlungssicherheit zu erhalten. Danke Dir für den Schmunzler!
keine-ahnung
keine-ahnung 05.03.2015 um 20:50:00 Uhr
Goto Top
Die Domainnamen werden extern gehostet
Besser ist das ...
und entsprechend auf den Server geschickt
... damit meinst Du a- und evtl. mx-records? Ich habe davon keine-ahnung, bin nur Arzt, kein Ingenieur.
und insbesondere nicht für ein System, welches ich nur zum Test verwende
Warum nicht? Mach das in einer Zeit, in welcher niemand von aussen zugreift ... ein Zertifikat wird nicht für eine geschundene SBS-Büchse, sondern für eine - oder wie hier notwendig - für mehrere (sub-)domains verkauft ...
Exchange ruhig stellen
Für Ruhigstellungen bin ich nun wieder der Fachmann ... face-wink
Danke Dir für den Schmunzler!
Kein Thema. Kollege v. Hirschhausen ist ja der Meinung, dass man damit alle Zertifikatsprobleme heilen kann ...

LG, Thomas
AndiEoh
Lösung AndiEoh 06.03.2015, aktualisiert am 07.03.2015 um 16:11:14 Uhr
Goto Top
Hallo,

ich glaub hier wird etwas verwechselt...

SHA(2) ist keine Verschlüsselung sondern ein Hash der zum Verifizieren verwendet wird. Dieser wird von der CA deiner Wahl hinzugefügt, d.h. nur dort wird zunächst mal entschieden welches Verfahren verwendet wird. Dein SBS erzeugt RSA Schlüssel mit 1024 oder besser 2048 Bit wenn du ein CSR erstellst um das von der CA per SHA-2 signieren zu lassen. Für deinen SBS ist es also nur wichtig das er SHA-2 verifizieren kann, ob er CSRs damit erzeugt ist i.d.R. egal.

http://www.entrust.net/knowledge-base/technote.cfm?tn=8156

Gruß

Andi
ingenieuridee
ingenieuridee 07.03.2015 um 16:25:02 Uhr
Goto Top
Hallo!

Ich freue mich wirklich jedes mal, wenn so zahlreich und fundiert unterstützt wird. Großes Lob an dieses Forum. Leider kann ich nur durch meine abschließende Schilderung ein wenig beitragen.

Der SBS 2008 erzeugt den RSA Schlüssel mit 2048 bit. Dieser damit erzeugte Textteil (heißt wohl CSR - danke Andi) konnte erfolgreich übermittelt werden. Die Zertifizierungsstelle hat dann einen SHA-2 signierten Schlüssel zurückgesandt. Dieser lässt sich im SBS 2008 (für IIS und Exchange 2007) ebenfalls völlig unproblematisch verwenden.

Nach dem ich es zunächst manuell über den IIS versucht habe und scheiterte, habe ich mich für den Assistenten der SBS Konsole entschieden um das neue Zertifikat auf SHA2 Basis zu nutzen.

HOWTO (kurz)
Der Assistent wird aufgerufen, "neues Zertifikat" auswählen, die Angaben machen und den dann erzeugten CSR Code kopieren und zusätzlich abspeichern. Jetzt den Assistenten mit dem sinngemäßen Punkt "Stelle benötigt noch ein wenig" schließen.

Die Antwort folgt relativ prompt (2,5 h). Der Schlüssel kann nun heruntergeladen und abgespeichert werden. Ihr öffnet den Assistenten erneut und wählt mit dem Filter *.* die CRT Datei aus. Jetzt läuft alles automatisch ab. Exchange und IIS werden an das neue Zertifikat für den Remote Zugriff gebunden. Das gilt auch für die Ports des Exchange Servers. Das Intermediate Zertifikat habe ich nicht benötigt.

Viel Erfolg allen aktiven Nutzern in diesem Forum!

Schönes WE!!
AndiEoh
AndiEoh 09.03.2015 um 12:30:06 Uhr
Goto Top
Hallo,

ein Hinweis noch:

Das Intermediate bzw. die Sub-CA sollte vom Server (IIS) mit ausgeliefert werden, da ein Client i.d.R. dieses nicht automatisch beschaffen kann und nur die root-CA eingebaut ist. Ansonsten wird bei Clients ohne diese Sub-CA eine Warnung ausgegeben das dein Zertifikat nicht überprüft werden kann.

Gruß

Andi
ingenieuridee
ingenieuridee 09.03.2015 um 16:38:19 Uhr
Goto Top
Hallo!

Danke für diesen Hinweis. Wie mache ich das? Wie wird das Intermediate Cert vom IIS an beliebige Nutzer übertragen?

Gruß
Holger