none
E2k10 und Zertifikate RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe zwei E2k10 Server (CAS/HUB & CAS/HUB/MBX) bei denen im Juni das Standard Exchange Zertifikat ausläuft. Ich bin mir nicht sicher ob das zu einem Problem führen wird, da ich nicht weiß ob es überhaupt verwendet wird.

    Wir verwenden ja ein SelfSigned Zertifikat für die Dienste IMAP, POP, IIS und SMTP, das erst wieder 2017 ausläuft. Ist das Microsoft Exchange Zertifikat nur ein Standardzertifikat das nicht verwendet wird oder wird es für irgend welche Exchange Funktionen im Hintergrund verwendet? Wenn ja, wie kann ich es verlängern?

    Danke!

    Freitag, 13. Mai 2016 07:03
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    1. ich verwendet hoffentlich kein "Self Signed", sondern ein intern signiertes CA, bei dem ihr das Root-CA-Zertifikat dann an die Clients verteilt. Echte Self Signed sind nicht supported und führen immer wieder zu Problemen.

    2. Wie das bei POP/IMAP ist, weiß ich nicht, aber zumindest bei SMTP werden alle Zertifikate verwendet, die den Dienst "SMTP" zugewiesen haben. Exchange sucht die nach dem FQDN im Connector aus und nimmt das Standars-Zertifikat, wenn es kein passendes gibt.

    Durch diesen Kniff schafft es Microsoft, für verschiedene SMTP-Connectoren unterschiedliche Zertifikate zu nutzen.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 13. Mai 2016 12:53
    |
  • Question
    Anmelden
    1
    Anmelden

    Das kannst du normalerweise getrost ignorieren.

    "Microsoft Exchange" nennt sich das Zertifikat, das während der Installation von Exchange initial erstellt wird um nach der Installation auf das EAC, OWA usw. zugreifen zu können.
    Du hast wahrscheinlich das Zertifikat nicht gelöscht, nach dem du ein eigenes eingespielt hast.

    @Robert: "Self Signed" ist leider zweideutig - ich verstehe darunter zwar auch so wie du, ein Zertifikat, welches direkt mit der Exchange Powershell erstellt wird (ohne CA).
    Aber wenn mal nach "Self Signed" googlet, stößt man fast nur auf Anleitungen, wie man sich ein Zertifikat von einer eigenen internen CA ausstellen lässt, darunter versteht anscheinend nicht jeder das selbe...
    z.B. http://social.technet.microsoft.com/wiki/contents/articles/13916.how-to-use-a-self-signed-certificate-in-exchange-2010.aspx 

    Freitag, 13. Mai 2016 13:56
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Das wird normalerweise nicht verwendet und kann somit auslaufen. Erst ab 2013 gibt es Self-Signed Zertifikate die auch genutzt werden, da kümmert sich Exchange aber selbstständig um die Verlängerung.

    Grüße

    Jörg von der Ohe

    Freitag, 13. Mai 2016 08:15
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    1. ich verwendet hoffentlich kein "Self Signed", sondern ein intern signiertes CA, bei dem ihr das Root-CA-Zertifikat dann an die Clients verteilt. Echte Self Signed sind nicht supported und führen immer wieder zu Problemen.

    2. Wie das bei POP/IMAP ist, weiß ich nicht, aber zumindest bei SMTP werden alle Zertifikate verwendet, die den Dienst "SMTP" zugewiesen haben. Exchange sucht die nach dem FQDN im Connector aus und nimmt das Standars-Zertifikat, wenn es kein passendes gibt.

    Durch diesen Kniff schafft es Microsoft, für verschiedene SMTP-Connectoren unterschiedliche Zertifikate zu nutzen.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 13. Mai 2016 12:53
    |
  • Question
    Anmelden
    1
    Anmelden

    Das kannst du normalerweise getrost ignorieren.

    "Microsoft Exchange" nennt sich das Zertifikat, das während der Installation von Exchange initial erstellt wird um nach der Installation auf das EAC, OWA usw. zugreifen zu können.
    Du hast wahrscheinlich das Zertifikat nicht gelöscht, nach dem du ein eigenes eingespielt hast.

    @Robert: "Self Signed" ist leider zweideutig - ich verstehe darunter zwar auch so wie du, ein Zertifikat, welches direkt mit der Exchange Powershell erstellt wird (ohne CA).
    Aber wenn mal nach "Self Signed" googlet, stößt man fast nur auf Anleitungen, wie man sich ein Zertifikat von einer eigenen internen CA ausstellen lässt, darunter versteht anscheinend nicht jeder das selbe...
    z.B. http://social.technet.microsoft.com/wiki/contents/articles/13916.how-to-use-a-self-signed-certificate-in-exchange-2010.aspx 

    Freitag, 13. Mai 2016 13:56
    |
  • Question
    Anmelden
    1
    Anmelden

    "Self Signed" ist leider zweideutig

    Nö ;-) Es gibt einfach Leute, die ihn falsch verwenden. Der Begriff selbst läßt an Eindeutigkeit nichts zu wünschen übrig - ein Zertifikat, bei dem der Antragsteller und der Aussteller identisch sind. In einer ordentlichen PKI hat nur eine Entität ein solches Zertifikat, nämlich die Root CA.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    my personal blog (mostly German) -> http://it-pro-berlin.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Freitag, 13. Mai 2016 14:08
    |
  • Question
    Anmelden
    2
    Anmelden


    @Robert: "Self Signed" ist leider zweideutig - ich verstehe darunter zwar auch so wie du, ein Zertifikat, welches direkt mit der Exchange Powershell erstellt wird (ohne CA).
    Aber wenn mal nach "Self Signed" googlet, stößt man fast nur auf Anleitungen, wie man sich ein Zertifikat von einer eigenen internen CA ausstellen lässt, darunter versteht anscheinend nicht jeder das selbe...
    z.B. http://social.technet.microsoft.com/wiki/contents/articles/13916.how-to-use-a-self-signed-certificate-in-exchange-2010.aspx 

    Uhi, was für eine schlechte Anleitung. Da installiert er mit viel Aufwand eine eigene CA, lässt den Request von dieser signieren um dann doch nur das ausgestellte Zertifikat zu importieren, anstelle das der CA. Das hätte man auch einfacher haben können.

    Ich gebe Evgenij recht, dass der Begriff leider sehr auch falsch verwendet wird. Vom Hersteller von Exchange zum Glück aber nicht, die wissen sehr wohl, was "selbst signiert", "intern signiert" und "extern signiert" bedeutet:

    https://technet.microsoft.com/de-de/library/dd351044(v=exchg.141).aspx

    Und da findet man dann auch die betreffende Warnung: Ein selbstsigniertes Zertifikat erlaubt einigen Clientprotokollen die Verwendung von SSL für die Kommunikation. Exchange ActiveSync und Outlook Web App können eine SSL-Verbindung unter Verwendung eines selbstsignierten Zertifikats herstellen. Outlook Anywhere unterstützt keine selbstsignierten Zertifikate. 

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 13. Mai 2016 16:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo und vielen Dank euch für die Unterstützung.

    Ich habe mich da wohl auch von der Spalte im Screenshot irritieren lassen Das Standard Exchange Zertifikat ist ein Self Signed und wir verwenden natürlich eines aus unserer eigenen CA. Der Screen shot zeigt es auch richtig an. Sorry.
    Also warte ich einfach bis zum 7.6. und es sollte danach trotzdem noch alles funktionieren.
    Wenn das Standard Zertifikat im "Notfall" verwendet wird, wäre es u.U. sinnvoll es trotzdem zu verlängern, oder? Wie mache ich das?

    Danke!

    Dienstag, 17. Mai 2016 08:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Zur Info,

    Zertifikat ist abgelaufen und es sind keine Auswirkungen zu spüren, da das eigene noch gültig ist.

    Danke!

    Mittwoch, 22. Juni 2016 09:39
    |