0
Exchange Zertifikat für mehrere DNS-Namen ausstellen (Exchange 2007)
HOW TO zum Thema: Exchange Zertifikat auf mehrere DNS-Namen erstellen,
welches u.a. für mehrere Dienste zuständig sein soll.
(SAN-Zertifikat)
Testumgebung:
Windows Server 2008
Exchange 2007
Webserver (IIS)
Interne Stammzertifizierungsstelle
Servername:
msdc01.mydomain.local
Ein einziges Zertifikat soll für mehrere DNS-Namen zuständig sein,
wie z.B. mail.domain.tld, owa.domain.tld, name.dyndns.org, autodiscover.domain.tld etc. pp.
Das erstellte Zertifikat soll hier auf folgende DNS-Namen ausgestellt werden:
msdc01
msdc01.mydomain.local
msdc01.dyndns.org
autodiscover.mydomain.local
mydomain.local
New-ExchangeCertificate
-GenerateRequest
-SubjectName "c=DE, o=MYDOMAIN, cn=msdc01.mydomain.local"
-IncludeAcceptedDomains
-DomainName msdc01.mydomain.local,msdc01,msdc01.dyndns.org,autodiscover.mydomain.local
-privatekeyexportable $true
-Path c:\mydomain.local.req
Die erstellte Anforderungsdatei, welches sich unter dem Pfad "C:\mydomain.local.req" befindet muss nun mit dem Editor geöffnet werden.
Wir kopieren den Textbaustein
und reichen als Administrator unter https://msdc01.mydomain.local/certsrv eine neue Zertifikatanforderung ein.
Wir fügen den Textbaustein in das Feld "Gespeicherte Anforderung".
Das "----BEGIN CERTIFICATE----" und "----END CERTIFICATE----" muss mit enthalten sein!
Wir wählen als Zertifikatvorlage: Webserver
Zuletzt speichern wir das angeforderte Zertifikat als "mydomain.cer" unter "C:\" ab.
In diesem Schritt muss diese Zertifikatsbestätigung eingespielt werden:
(Hier ist die Zertifikatsbestätigung zuvor gespeichert worden "mydomain.cer")
Dazu öffnen wir den Exchange Verwaltungsshell erneut und geben folgende Zeile ein:
Import-ExchangeCertificate -Path c:\mydomain.cer
Ob der Vorgang abgeschlossen ist, können wir mit folgendem Befehl abfragen:
Get-ExchangeCertificate
Nun haben wir zwar ein Zertifikat auf dem Server, dieses muss allerdings noch aktiviert werden.
Dabei können wir entscheiden für welche Dienste das Zertifikat zuständig ist!
(hier: SMTP,IMAP,POP,IIS)
Im Verwaltungsshell geben wir deshalb folgende Zeilen ein:
Enable-ExchangeCertificate
-Thumbprint (Fingerabdruck des Zertifikats)
-Services SMTP,IMAP,POP,IIS
Wir überprüfen zum Schluss im IIS-Manager unter Serverzertifikate ob das Zertifikat vorhanden ist.
Der Anzeigename des Zertifikats lautet, wie könnte es anders sein, "Microsoft Exchange"
Wenn wir das Zertifikat anzeigen lassen, dann finden wir unter "Details" im Feld "Alternative Antragsstellernamen"
die DNS-Namen auf welche das Zertifikat ausgestellt ist.
Vergessen Sie nicht die Bindung über HTTPS mit dem neuen Zertifikat zu überprüfen!
welches u.a. für mehrere Dienste zuständig sein soll.
(SAN-Zertifikat)
INFORMATIONEN:
Testumgebung:
Windows Server 2008
Exchange 2007
Webserver (IIS)
Interne Stammzertifizierungsstelle
Servername:
msdc01.mydomain.local
Ein einziges Zertifikat soll für mehrere DNS-Namen zuständig sein,
wie z.B. mail.domain.tld, owa.domain.tld, name.dyndns.org, autodiscover.domain.tld etc. pp.
Das erstellte Zertifikat soll hier auf folgende DNS-Namen ausgestellt werden:
msdc01
msdc01.mydomain.local
msdc01.dyndns.org
autodiscover.mydomain.local
mydomain.local
SCHRITT 1: Erstellen eines neuen Zertifikats mit dem Exchange Verwaltungsshell
New-ExchangeCertificate-GenerateRequest
-SubjectName "c=DE, o=MYDOMAIN, cn=msdc01.mydomain.local"
-IncludeAcceptedDomains
-DomainName msdc01.mydomain.local,msdc01,msdc01.dyndns.org,autodiscover.mydomain.local
-privatekeyexportable $true
-Path c:\mydomain.local.req
SCHRITT 2: Einreichen der Zertifikatsanforderung
Die erstellte Anforderungsdatei, welches sich unter dem Pfad "C:\mydomain.local.req" befindet muss nun mit dem Editor geöffnet werden.Wir kopieren den Textbaustein
und reichen als Administrator unter https://msdc01.mydomain.local/certsrv eine neue Zertifikatanforderung ein.
Wir fügen den Textbaustein in das Feld "Gespeicherte Anforderung".
Das "----BEGIN CERTIFICATE----" und "----END CERTIFICATE----" muss mit enthalten sein!
Zuletzt speichern wir das angeforderte Zertifikat als "mydomain.cer" unter "C:\" ab.
SCHRITT 3: Zertifikat Import
In diesem Schritt muss diese Zertifikatsbestätigung eingespielt werden:Dazu öffnen wir den Exchange Verwaltungsshell erneut und geben folgende Zeile ein:
Import-ExchangeCertificate -Path c:\mydomain.cer
Ob der Vorgang abgeschlossen ist, können wir mit folgendem Befehl abfragen:
Get-ExchangeCertificate
Nun haben wir zwar ein Zertifikat auf dem Server, dieses muss allerdings noch aktiviert werden.
Dabei können wir entscheiden für welche Dienste das Zertifikat zuständig ist!
(hier: SMTP,IMAP,POP,IIS)
Im Verwaltungsshell geben wir deshalb folgende Zeilen ein:
Enable-ExchangeCertificate
-Thumbprint (Fingerabdruck des Zertifikats)
-Services SMTP,IMAP,POP,IIS
LETZER SCHRITT:
Wir überprüfen zum Schluss im IIS-Manager unter Serverzertifikate ob das Zertifikat vorhanden ist.Der Anzeigename des Zertifikats lautet, wie könnte es anders sein, "Microsoft Exchange"
Wenn wir das Zertifikat anzeigen lassen, dann finden wir unter "Details" im Feld "Alternative Antragsstellernamen"
die DNS-Namen auf welche das Zertifikat ausgestellt ist.
Vergessen Sie nicht die Bindung über HTTPS mit dem neuen Zertifikat zu überprüfen!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126904
Url: https://administrator.de/contentid/126904
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
