none
3rd-P. Zertifikat sowohl für IIS als auch für Exchange-Clientserver-Anmeldung nutzbar? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Ihr Technetter!

    Ich folge dem Technet jetzt schon seit einiger Zeit und habe hier schon viele wichtige Inspirationen gefunden (Danke an alle) allerdings komme ich an einer Stelle nun nicht weiter...

    Szenario:
    -Heimnetz in Domain xxx.de, statische IP. darin
    -Domaincontroller server.xxx.de, auf diesem laufen:
    -Win2k8r2 mit ADDC, DNS, DHCP, WIIS, Exchange-Server-2010
    -DNS-Einsträge verweisen passend auf server.xxx.de, Ports sind freigegeben, MX-Eintrag vorhanden.

    1. Problem:
    -Ich habe  mir nun ein 3rd-Party-zertifikat (Comodo) gekauft das auf den Namen server.xxx.de ausgestellt ist (unter dem ich meinen Server auch von außen wie von innen adressiere).
    -Nun versuche ich dieses Zertifikat auch zu nutzen und zwar möchte ich es sowohl für den Remotedesktop als auch für den Clientzugriff von Exchange nutzen.
    -wenn ich das Zertifikat nun in den IIS7 importiere, kann ich es in der MMC vom Exchange nicht an die Dienste binden und wenn ich es ins Exchange importieren möchte, wird es vom Exchange abgelehnt mit Verweis auf den Fingerprint eines bereits vorhandenen Zertifikats.
    1. Frage: Wie kann ich ein Zertifikat das bereits im Zertifikatspeicher ist, für Exchange nutzen oder ist es sinnvoll dieses Zertifikat nur auf dem Exchangeserver zu installieren und sich ein zweites Zertifikat für den WIIS zu besorgen?
    2. Frage: Ich habe das Zertifikat zum maximalen Schutz desselben (nach der Anfertigung einer ausgelagerten Sicherung) als "Nicht exportierbar" in den IIS-Zertifikatmanager importiert. Ist das der Grund warum der Exchangeserver das Zertifikat nicht automatisch mit ihm Speicher hat?
    3. Frage: Ich habe beim Versuch ein Zertifikat direkt in den Exchange-Server zu importieren festgestellt, dass ich den erneuten Export des Zertifikats aus dem Exchangeserver gar nicht deprivilegieren kann. Nach meinem schlichten Verständnis kann sich also jemand der Zugang zu meinem Exchange-Server-MMC erlangt, meine Zertifikate incl. Privatem Schlüssel herunterladen. Bietet Exchange diese Sicherheitsfunktion gar nicht an?

    2. Problem (ist zwar das falsche Board, hat aber direkt damit zu tun):
    Wie binde ich den Remote-Desktop den ich ja zum Adminnen meines Servers benutzen möchte an mein Zertifikat?

    Tags:
    Bindung von Zertifikaten an Dienste, zwei Zertifikate nötig?, Schutz von Zertifikaten, Clientserverzertifikat Exchange 2010

    Freitag, 5. Oktober 2012 13:34
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi Johannes Münch,

    Hi Ihr Technetter!

    Ich folge dem Technet jetzt schon seit einiger Zeit und habe hier schon viele wichtige Inspirationen gefunden (Danke an alle) allerdings komme ich an einer Stelle nun nicht weiter...

    Szenario:
    -Heimnetz in Domain xxx.de, statische IP. darin
    -Domaincontroller server.xxx.de, auf diesem laufen:
    -Win2k8r2 mit ADDC, DNS, DHCP, WIIS, Exchange-Server-2010
    -DNS-Einsträge verweisen passend auf server.xxx.de, Ports sind freigegeben, MX-Eintrag vorhanden.


    1. Problem:
    -Ich habe  mir nun ein 3rd-Party-zertifikat (Comodo) gekauft das auf den Namen server.xxx.de ausgestellt ist (unter dem ich meinen Server auch von außen wie von innen adressiere).
    -Nun versuche ich dieses Zertifikat auch zu nutzen und zwar möchte ich es sowohl für den Remotedesktop als auch für den Clientzugriff von Exchange nutzen.
    -wenn ich das Zertifikat nun in den IIS7 importiere, kann ich es in der MMC vom Exchange nicht an die Dienste binden und wenn ich es ins Exchange importieren möchte, wird es vom Exchange abgelehnt mit Verweis auf den Fingerprint eines bereits vorhandenen Zertifikats.
    1. Frage: Wie kann ich ein Zertifikat das bereits im Zertifikatspeicher ist, für Exchange nutzen oder ist es sinnvoll dieses Zertifikat nur auf dem Exchangeserver zu installieren und sich ein zweites Zertifikat für den WIIS zu besorgen?
    2. Frage: Ich habe das Zertifikat zum maximalen Schutz desselben (nach der Anfertigung einer ausgelagerten Sicherung) als "Nicht exportierbar" in den IIS-Zertifikatmanager importiert. Ist das der Grund warum der Exchangeserver das Zertifikat nicht automatisch mit ihm Speicher hat?

    Beim Importieren des Certs in der EMC kommt das Cert in den lokalen Cert-Speicher des Computers und wird auch über die EMC an den IIS gebunden. Schaust du im Comuter- oder Benutzer-Speicher?

    3. Frage: Ich habe beim Versuch ein Zertifikat direkt in den Exchange-Server zu importieren festgestellt, dass ich den erneuten Export des Zertifikats aus dem Exchangeserver gar nicht deprivilegieren kann. Nach meinem schlichten Verständnis kann sich also jemand der Zugang zu meinem Exchange-Server-MMC erlangt, meine Zertifikate incl. Privatem Schlüssel herunterladen. Bietet Exchange diese Sicherheitsfunktion gar nicht an?

    Zugriff auf die EMC bekommen nur Admins und die sollten wissen was sie tun.

    Viele Grüße
    Christian

    Freitag, 5. Oktober 2012 13:45
    |
    Moderator