smeclnt
Goto Top

Zertifikat bei Ablösung eines SBS2011

Hallo zusammen,
bei der Ablösung eines SBS2011 zu Server 2019 mit Ex2016 wollte/muss ich einen neuen Zertifikatsserver installieren.
Kann ich im folgenden Bild (ist noch nicht von meiner Installation) von dem SBS Zertifikate übernehmen?

zert

Gibt es evtl. eine andere Lösung (liege ich falsch?)?
Danke für jeden Tip,
Gruß

Content-ID: 425858

Url: https://administrator.de/forum/zertifikat-bei-abloesung-eines-sbs2011-425858.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

SeaStorm
SeaStorm 07.03.2019 um 18:18:46 Uhr
Goto Top
Ja. Geh in die alte Console und mach da ein Backup der CA.
Dann kannst du das da auf dem neuen übernehmen.
Hostname sollte natürlich der gleiche sein, sonst wirds blöd...
smeclnt
smeclnt 07.03.2019 um 18:40:44 Uhr
Goto Top
Hallo,
Danke für die Antwort.
Der Hostname ist leider nicht der selbe... versuche sanft zu migrieren.
Geht es denn, dass ich 2 Zert Stellen in der Domäne habe und auf dem neuen dann ein neues Zertifikat erstelle (mit all den alten/neuen Hostnamen)?
Gruß
SeaStorm
SeaStorm 07.03.2019 um 19:09:25 Uhr
Goto Top
Du kannst eine Zweite CA erstellen, klar.
Aber die alten Zertifikate werden allerdings nicht durch die neue "bedient". Die entsprechenden Clients musst du halt umziehen. Sollte aber auch erst mal kein Problem sein. Das bisherige root-zertifikat ist ja noch gültig und die Clients vertrauen dem ja weiterhin.
Kommt halt drauf an was du mit den Zertifikaten machst.
Und die neue CA kannst du dann ja gleich richtig aufsetzen face-smile
smeclnt
smeclnt 07.03.2019 um 20:00:30 Uhr
Goto Top
Danke SeaStorm,
da sind "wir" bei meinem eigentlichen Problem.
Ich habe nur Outlook Anbindungen über das Internet (Outlook Anywhere/ Active Synch).
Ich kann also die neue Ca installieren und das neue Zertifikat an die Client mailen.
Dann einfach die Portweiterleitung im Router auf den neuen Server und die Client im Exchange migrieren?
Hast Du das schon einmal so gemacht bzw. weißt Du, dass man so am Ende auch den SBS sauber deinstallieren kann.
Danke,
Gruß
SeaStorm
SeaStorm 07.03.2019 um 20:09:51 Uhr
Goto Top
äh? Geht's hier nur um das SSL Zertifikat für den Exchange?
Sonst um nix ?
smeclnt
smeclnt 07.03.2019 um 20:17:15 Uhr
Goto Top
Hallo,
ja, SBS2011 durch EX2016 ablösen... ich dachte der Hinweis ist eindeutig aber Du hast recht... es gibt ja noch andere Szenarien mit Zertifikat.
Trotzdem eine Idee?
Danke,
Gruß
SeaStorm
SeaStorm 07.03.2019 um 20:33:10 Uhr
Goto Top
jo dann musst du dir eigentlich keinen Kopf machen.
Das Zertifikat ist da völlig unkritisch.
Gibt grundsätzlich mehrere Lösungen, aber ganz Stumpf:

CA installieren und deren Root an die Clients verteilen.
Am EX ein Serverzertifikat anfordern und am IIS installieren.
Damit wären die internen Clients bedient.

Jetzt kommt's drauf an ob du mit Mobiltelefonen etc von extern auf den Exchange gehst und wie genau du es da mit den Zertifikaten nimmst.
Wenn du den Geräten per MDM oÄ auch dein Root aufspielen kannst , ists ja eh kein Problem.
Wenn nicht, dann kannst du
Den Geräten jeweils das Zertifikat Manuell aufspielen
Die Zertifikatsmeldung ggf einfach wegdrückenund ignorieren=Schlechteste Lösung
Dir für eure externe Domain ein Zertifikat kaufen. Damit wäre das ganze losgelöst von der eigenen CA

Wie man den SBS bzw Exchange dann deinstalliert ... da gibts ja wirklich genug Anleitungen im Netz face-smile
smeclnt
smeclnt 07.03.2019 aktualisiert um 20:43:13 Uhr
Goto Top
Hallo und Danke,
ja , so in etwa, wie Du es beschreibst hatte ich es mir gedacht.
Ich war mir nur nicht sicher, ob ich 2 CA in einer Domäne haben kann und ob ich die "alte" dann einfach abschalten/entfernen kann.
Meine Client sind halt alle extern bzw. Mobilgeräte. Da braucht das Outlook schon das Zertifikat face-wink
Spannend für mich ist noch der Punkt an dem ich die Portweiterleitung mache... ich habe keine Erfahrung mit 2 Exchange in einer Domäne.
Leitet der EX2016, falls die Portweiterleitung schon auf ihn eingerichtet ist, Anforderungen von nocht nicht migrierten Mailboxen an den alten SBS weiter?
Gruß
SeaStorm
SeaStorm 08.03.2019 um 06:44:43 Uhr
Goto Top
Geht schon, wenn man es richtig macht.

Ganz ernsthaft: Hol dir Unterstützung durch ein Systemhaus. Sonst geht das noch schief. Das kostet euch dann ganz schnell mehr als der Dienstleister.