none
Exchange2010 Mailboxserver und dort selbst-signierte Zertifikate RRS feed

  • Frage

  • Hallo zusammen

    wir nutzen Exchange2010 SP2 Rollup 8 mit 3 Mailboxserver (DAG), 2 HUBCAS-Servern (NLB) und einen TMG.

    Auf den Mailboxservern gibt es jeweils ein selbst signiertes Zertifikat das Exchange2010 automatisch erzeugt hat.

    Wir sehen, dass die Gültigkeit dieser Zertifikate in ein paar Wochen abläuft.

    Dazu zwei Fragen:

    Wenn wir es nicht gesehen hätten: wo wäre dann ein Hinweis darauf erschienen – im Eventlog? .

    Wie erneuern wir diese Zertifikate?

    Ist

                            get-exchangecertificate –thumbprint jj**blabla***kgfk | new-exchangecertificate

    alles was zu tun ist

    Danke und Grüße

    Ruth

    Dienstag, 20. Januar 2015 15:21

Antworten

  • Moin Ruth,

    wenn ich deine anderen Threads in Erinnerung rufe, hattet ihr nicht eine Root-CA?

    Eigentlich sind die self-signed Cert bei Exchange nur für die Installation, nicht für den Betrieb.

    Btw.: egal. Du kannst entweder das vorhanden Cert über die GUI oder Powershell erneuern, besser wäre
    jedoch der Weg über die interne CA - da gilt das Cert dann je nach Einstellung 5 Jahre.

    Nicht vergessen, das der TMG das Cert der CAS braucht.

    Warum NLB? Loadbalancer wäre sehr viel einfacher....

    ;)

    Nachtrag: Blog von einem MS MA:

    http://exchangepedia.com/2008/01/exchange-server-2007-renewing-the-self-signed-certificate.html

    Beachte 4ten Absatz:
    Self-signed certificates are great for securing communication by default and handy for test environments. For client communication in production environments, it’s recommended to use certificates signed by a trusted <acronym title="Certification Authority">CA</acronym>.


    Gruß Norbert


    Dienstag, 20. Januar 2015 15:32
    Moderator
  • Hi Ruth,

    fast...guck mal hier.

    So hat es bei mir wunderbar funktioniert.


    Grüße,

    Jesse

    Wenn dir meine Antwort weitergeholfen hat, makiere diese bitte als Antwort. Danke!

    Note: Posts are provided without warranty.

    Dienstag, 20. Januar 2015 15:29
  • Moin,

    und auch hier noch mal: Self-Signed sind für den Betrieb mit Clients eigentlich nicht supported, funktionieren teilweise sperrig oder gar nicht.

    Wie bereits erwähnt, sind sie für die Installation und sollten danach durch Zertifikate ausgetauscht werden, denen der Client normal vertraut.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 20. Januar 2015 15:49

Alle Antworten

  • Hi Ruth,

    fast...guck mal hier.

    So hat es bei mir wunderbar funktioniert.


    Grüße,

    Jesse

    Wenn dir meine Antwort weitergeholfen hat, makiere diese bitte als Antwort. Danke!

    Note: Posts are provided without warranty.

    Dienstag, 20. Januar 2015 15:29
  • Moin Ruth,

    wenn ich deine anderen Threads in Erinnerung rufe, hattet ihr nicht eine Root-CA?

    Eigentlich sind die self-signed Cert bei Exchange nur für die Installation, nicht für den Betrieb.

    Btw.: egal. Du kannst entweder das vorhanden Cert über die GUI oder Powershell erneuern, besser wäre
    jedoch der Weg über die interne CA - da gilt das Cert dann je nach Einstellung 5 Jahre.

    Nicht vergessen, das der TMG das Cert der CAS braucht.

    Warum NLB? Loadbalancer wäre sehr viel einfacher....

    ;)

    Nachtrag: Blog von einem MS MA:

    http://exchangepedia.com/2008/01/exchange-server-2007-renewing-the-self-signed-certificate.html

    Beachte 4ten Absatz:
    Self-signed certificates are great for securing communication by default and handy for test environments. For client communication in production environments, it’s recommended to use certificates signed by a trusted <acronym title="Certification Authority">CA</acronym>.


    Gruß Norbert


    Dienstag, 20. Januar 2015 15:32
    Moderator
  • Moin,

    und auch hier noch mal: Self-Signed sind für den Betrieb mit Clients eigentlich nicht supported, funktionieren teilweise sperrig oder gar nicht.

    Wie bereits erwähnt, sind sie für die Installation und sollten danach durch Zertifikate ausgetauscht werden, denen der Client normal vertraut.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 20. Januar 2015 15:49
  • OT - ich finde es witzig, das 2 verschiedene Leute - Jesse und ich - den gleichen Link verwenden.

    *bigsmile*


    Gruß Norbert

    Dienstag, 20. Januar 2015 16:50
    Moderator