SBS2008 Umstellung von SHA1 auf SHA2 (256 bit) Verschlüsselung
Hallo,
wird verwenden einen kleinen SBS2008. Die Mitarbeiter greifen über die Remote Verbindung auf OWA und SharePoint zu. Alle rufen über Blackberry die Exchange Emails ab. Dies ist insgesamt mit einem GoDaddy SHA1 Zertifikat gesichert. Dieses endet in 2016.
Auf dem Server laufen zwei SQL Datenbanken, Fax, Symantec BackupExec sowie MailSecurity etc. Er läuft schön rund. ... Ich möchte diesen aus meiner Sicht laufwürdigen Zustand beibehalten. Leider habe ich nach Recherche von zig Quellen bisher keine Möglichkeit gefunden, wie ich in den SBS2008 ein SHA2 Zertifikat von GoDaddy laden kann.
Kann mir jemand weiterhelfen? Geht es überhaupt oder ist Windows Server 2008 als Basis nicht dazu in der Lage. Außerdem ist ja insgesamt bekannt, dass der SBS2008 manuelle Änderungen außerhalb der Assistenten nicht wirklich mag.
Schönen Tag allen Lesern dieser Frage. Danke für den Gedanken ob Ihr helfen könnt.
Holger
wird verwenden einen kleinen SBS2008. Die Mitarbeiter greifen über die Remote Verbindung auf OWA und SharePoint zu. Alle rufen über Blackberry die Exchange Emails ab. Dies ist insgesamt mit einem GoDaddy SHA1 Zertifikat gesichert. Dieses endet in 2016.
Auf dem Server laufen zwei SQL Datenbanken, Fax, Symantec BackupExec sowie MailSecurity etc. Er läuft schön rund. ... Ich möchte diesen aus meiner Sicht laufwürdigen Zustand beibehalten. Leider habe ich nach Recherche von zig Quellen bisher keine Möglichkeit gefunden, wie ich in den SBS2008 ein SHA2 Zertifikat von GoDaddy laden kann.
Kann mir jemand weiterhelfen? Geht es überhaupt oder ist Windows Server 2008 als Basis nicht dazu in der Lage. Außerdem ist ja insgesamt bekannt, dass der SBS2008 manuelle Änderungen außerhalb der Assistenten nicht wirklich mag.
Schönen Tag allen Lesern dieser Frage. Danke für den Gedanken ob Ihr helfen könnt.
Holger
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265348
Url: https://administrator.de/forum/sbs2008-umstellung-von-sha1-auf-sha2-256-bit-verschluesselung-265348.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
11 Kommentare
Neuester Kommentar
Hi Holger,
leider habe ich wenig Zugriff auf SBS2008, um dir wirklich Auskunft geben zu können.
Prinzipiell kommt Windows 2008 (VIsta Basis) mit SHA2 klar: SHA2 and Windows
Allerdings ist es ja eher eine Frage der Applikationen, die dieses nutzen, hier der IIS7.
Ich habe hier eine Anleitung für Symantec SSL-Zertifikate gefunden. Eventuell hilft dir dies auch für dein godaddy-Zertifikat.
Richtig ist, dass der SBS für (Teilzeit-) Admins mit weniger Erfahrung gedacht ist und die Assistenten diesem die meiste Arbeit abnehmen.
Alles, was so ein Assistent macht, ist in irgend einer Form auch ohne diesen zu bewerkstelligen.
Du solltest so vorgehen, wie in dieser Anleitung beschrieben, dann klappt das auch mit deinem Zertifikat auf dem SBS.
leider habe ich wenig Zugriff auf SBS2008, um dir wirklich Auskunft geben zu können.
Prinzipiell kommt Windows 2008 (VIsta Basis) mit SHA2 klar: SHA2 and Windows
Allerdings ist es ja eher eine Frage der Applikationen, die dieses nutzen, hier der IIS7.
Ich habe hier eine Anleitung für Symantec SSL-Zertifikate gefunden. Eventuell hilft dir dies auch für dein godaddy-Zertifikat.
Außerdem ist ja insgesamt bekannt, dass der SBS2008 manuelle Änderungen außerhalb der Assistenten nicht wirklich mag.
Das stimmt so überhaupt nicht!Richtig ist, dass der SBS für (Teilzeit-) Admins mit weniger Erfahrung gedacht ist und die Assistenten diesem die meiste Arbeit abnehmen.
Alles, was so ein Assistent macht, ist in irgend einer Form auch ohne diesen zu bewerkstelligen.
Du solltest so vorgehen, wie in dieser Anleitung beschrieben, dann klappt das auch mit deinem Zertifikat auf dem SBS.
Moin,
LG, Thomas
Das stimmt so überhaupt nicht!
doch, das stimmt schon. Die zerschossenen SBS allein hier im Forum sind mahnendes Zeugnis genug . Und solange Bill den Quellcode für den SBS-Manager nicht offenlegt ...Der IIS 7 erhält ein neues SHA 2 Zertifikat für die Standarddomäne remote.company.web. Woher weiß jetzt der Exchange 2007 Server, dass er auch mit diesem Zertifikat arbeiten darf/muss/soll.
Der Exchange kann das Zertifikat gar nicht nutzen, da es nicht seine domain abdeckt ... Du brauchst ein wildcard- (multidomain-) Zertifikat für XXX.company.web. Außerdem ist ja insgesamt bekannt, dass der SBS2008 manuelle Änderungen außerhalb der Assistenten nicht wirklich mag.
Was spricht dagegen, das neue Zertifikat über den Assi reinzufüttern ...???LG, Thomas
Bisher komme ich auch "nur" mit dem remote.company.web Zertifikat aus.
Ich bin jetzt ein paar Minuten aus dem SBS 2008 raus ... aber der hat keine eigene mail-domain?? Deine mail-Adresse lautet ergo müller@remote.company.web ...??? Klingt komisch ... und unglaubwürdig .Ich glaube nicht das der Assistent den benötigten 2048er Schlüssel erzeugt.
Ich kenne einen Landeskirchenoberrat, für mich ist der Fachmann in allen Glaubensfragen. Nur würde ich mir von dem keinen Taschenrechner programmieren lassen ... worauf gründet Dein Glaube?Für ein Testsystem fehlt mit leider voll die Zeit.
Dann hast Du ein Problem ... virtualisiert ist so eine Büchse doch recht schnell? Und: Dem Inscheniör ist nüscht zu schwör! Oder?LG, Thomas
Die Domainnamen werden extern gehostet
Besser ist das ...und entsprechend auf den Server geschickt
... damit meinst Du a- und evtl. mx-records? Ich habe davon keine-ahnung, bin nur Arzt, kein Ingenieur. und insbesondere nicht für ein System, welches ich nur zum Test verwende
Warum nicht? Mach das in einer Zeit, in welcher niemand von aussen zugreift ... ein Zertifikat wird nicht für eine geschundene SBS-Büchse, sondern für eine - oder wie hier notwendig - für mehrere (sub-)domains verkauft ... Exchange ruhig stellen
Für Ruhigstellungen bin ich nun wieder der Fachmann ... Danke Dir für den Schmunzler!
Kein Thema. Kollege v. Hirschhausen ist ja der Meinung, dass man damit alle Zertifikatsprobleme heilen kann ...LG, Thomas
Hallo,
ich glaub hier wird etwas verwechselt...
SHA(2) ist keine Verschlüsselung sondern ein Hash der zum Verifizieren verwendet wird. Dieser wird von der CA deiner Wahl hinzugefügt, d.h. nur dort wird zunächst mal entschieden welches Verfahren verwendet wird. Dein SBS erzeugt RSA Schlüssel mit 1024 oder besser 2048 Bit wenn du ein CSR erstellst um das von der CA per SHA-2 signieren zu lassen. Für deinen SBS ist es also nur wichtig das er SHA-2 verifizieren kann, ob er CSRs damit erzeugt ist i.d.R. egal.
http://www.entrust.net/knowledge-base/technote.cfm?tn=8156
Gruß
Andi
ich glaub hier wird etwas verwechselt...
SHA(2) ist keine Verschlüsselung sondern ein Hash der zum Verifizieren verwendet wird. Dieser wird von der CA deiner Wahl hinzugefügt, d.h. nur dort wird zunächst mal entschieden welches Verfahren verwendet wird. Dein SBS erzeugt RSA Schlüssel mit 1024 oder besser 2048 Bit wenn du ein CSR erstellst um das von der CA per SHA-2 signieren zu lassen. Für deinen SBS ist es also nur wichtig das er SHA-2 verifizieren kann, ob er CSRs damit erzeugt ist i.d.R. egal.
http://www.entrust.net/knowledge-base/technote.cfm?tn=8156
Gruß
Andi
Hallo,
ein Hinweis noch:
Das Intermediate bzw. die Sub-CA sollte vom Server (IIS) mit ausgeliefert werden, da ein Client i.d.R. dieses nicht automatisch beschaffen kann und nur die root-CA eingebaut ist. Ansonsten wird bei Clients ohne diese Sub-CA eine Warnung ausgegeben das dein Zertifikat nicht überprüft werden kann.
Gruß
Andi
ein Hinweis noch:
Das Intermediate bzw. die Sub-CA sollte vom Server (IIS) mit ausgeliefert werden, da ein Client i.d.R. dieses nicht automatisch beschaffen kann und nur die root-CA eingebaut ist. Ansonsten wird bei Clients ohne diese Sub-CA eine Warnung ausgegeben das dein Zertifikat nicht überprüft werden kann.
Gruß
Andi