none
Exchange 2007 Zertifikat RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo Ihr
    ich habe ein grundsätzliches Verständnissproblem mit den Exchangezertifikaten.

    Ich habe einen einzelnen Exchangeserver mit nur einem Namespace bzw. Domain.

    Nehmen wir als Beispiel einfach als Domain "contoso.de" - intern natürlich "contoso.local" und der Mailserver heißt: "mailserver"

    Jetzt möchte ich ein Zertifikat bei Verisign kaufen. Dort muss ich die Subject Alternate Name (SAN) angben.

    Welche sind das in diesem Fall? Wo ich mir sicher bin ist:
    (WINS-Name + FQDN) also

    - mailserver
    - mailserver.contoso.de



    Aber was ist mit:
    - mailserver.contoso.local ???
    - autodiscover.contoso.local ???
    - autodiscover.contoso.de ???

    Ich habe bei Exchange immer 2 Domains. *.local und *.de
    Ich verstehe nicht wie ich mit *.local umgehen muss??

    Vielen Dank für die wahrscheinliche bescheuerte Frage....
    Viele Grüße
    Montag, 15. November 2010 21:14
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi <realname please>
     
    > Also, ich möchte folgendes machen:
    >
    > - normaler interner E-Mail-Betrieb (Outlook)
    > - OWA von intern und extern
    > - ActiveSync mit WP7
    >
    > Der Exchange ist bereits veröffentlicht. Es wird bereits mit OWA mittels
    > eines selbstsignierten Zertifikat gearbeitet. Nun soll aber ein
    > Verisign-Zertifikat verwendet werden.
    >
    > Bei den Überlegungen, welche SAN ich mit in das Zertifikat packe, komme
    > ich einfach zu keiner Lösung.
    >
    > Es ist ein kleiner SBS2008.
    > Der Server heißt: mailserver
    > Die Domäne lautet analog: contoso.local
    > Exchange hat: contoso.local und contoso.de als akzeptierte Domänen
    >
    > Welche SAN muss ich angeben. Ich hätte gedacht:
    >
    > - mailserver (WINS)
    > - mailserver.contoso.de (FQDN außen)
    > - mailserver.contoso.local
    > - autodiscover.contoso.local
    > - autodiscover.contoso.de
     
    da es sich um einen SBS (hier 2008) handelt, solltest Du eindringlich wie
    folgt vorgehen:
     
    Introducing the “Add a Trusted Certificate Wizard” in SBS 2008
    http://blogs.technet.com/b/sbs/archive/2008/09/20/introducing-the-add-a-trusted-certificate-wizard-in-sbs-2008.aspx
     
    - bzw. -
     
    Installing a GoDaddy Standard SSL Certificate on SBS 2008
    http://sbs.seandaniel.com/2009/02/installing-godaddy-standard-ssl.html
     
     
    Hintergründe zu der Namensgebung eines SBS 2008 erfährst Du u.a. hier:
     
    What Changes Does the IAMW Make?
    http://blogs.technet.com/b/sbs/archive/2008/10/15/introducing-the-internet-address-management-wizard-part-3-of-3.aspx
     
     
    Kurzzusammenfassung für die Namensgebung eines SBS 2008 Zertifikates für
    dessen vielseitige Verwendung (Exchange, TS-Gateway, RWW, Sharepoint usw.):
     
    Ausgestellt für:
    CN = remote.contoso.de
     
    Alternative Antragssteller:
    DNS-Name=remote.contoso.de
    DNS-Name=autodiscover.contoso.de
    DNS-Name=STN-SERVER.contoso.local
    DNS-Name=contoso.de
     
     
    Tiefere Erkenntnis über die Zusammenhänge bzgl. Zertifikate im Allgemeinen
    erlangt man u.a. hier (sehr zu empfehlen!):
     
    All You Need to Know About Certificates from Templates to Revocation
    http://www.msteched.com/2010/Europe/SIA401
     
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 16. November 2010 09:05
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    die Frage lässt sich nicht vollständig beantworten. Es hängt immer davon ab, was du mit Exchange alles machen möchtest. Wenn du den Server nur intern verwendest, reichen die Namen mailserver und mailserver.contoso.de ....

    Möchtest du Exchange auch veröffentlichen würde ich dafür ein TMG empfehlen. Dann muss auf dem TMG ebenfalls ein Zertifikat installiert werden. Dieses muss dann alle verwendeten externen Namen beinhalten.

    - autodiscover.contoso.de
    - activesync.contoso.de
    - owa.contoso.de
    - usw...

    Du kannst natürlich auch alle Dienste über einen externen Namen veröffentlichen. Z.B. exchange.contoso.de

    Man könnte also ein Zertifikat mit allen externen und den internen Namen beantragen und diese auf dem Exchange Server und dem TMG installieren. Bei den meisten meiner Kunden nutzen wir zwei getrennte Zertifikate. Das eine ist von einer öffentlichen CA udn wird für den externen Zugriff verwendet. Das zweite ist für den Exchange Server und kommt von einer privaten Zertifizierungsstelle.

    Wenn du den CAS-Server noch hochverfügbar gestalltest (mit NLB oder externen Loadbalancer) müssen beide Servernamen in das gleiche Zertifikat. Das muss dann auch auf beiden Knoten installiert werden.

    Also was möchtest du alles machen ? Hochverfügbarkeit für die CAS-Rolle, Veröffentlichung von OWA, ActiveSync oder Outlook Anywhere ?

    Ich hoffe ich konnte schon etwas helfen ;) 

    PS: Ich finde die Frage nicht bescheuert ..... Exchange 2010 bringt übrigens für ein Zertifikatsrequest einen Wizzard mit. Der packt so ziemlich alles an möglichen Namen in das Zertifikat. Leider werden diese nicht alle benötigt oder passen nicht unbedingt zu dem was man braucht (Stichwort: CASARRAY)

     

    Viele Grüße Carsten
    Montag, 15. November 2010 22:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank für die schnelle Antwort. (und das du sie nicht bescheuert findest :-)  )

    Also, ich möchte folgendes machen:

    - normaler interner E-Mail-Betrieb (Outlook)
    - OWA von intern und extern
    - ActiveSync mit WP7

    Der Exchange ist bereits veröffentlicht. Es wird bereits mit OWA mittels eines selbstsignierten Zertifikat gearbeitet. Nun soll aber ein Verisign-Zertifikat verwendet werden.

    Bei den Überlegungen, welche SAN ich mit in das Zertifikat packe, komme ich einfach zu keiner Lösung.

    Es ist ein kleiner SBS2008.
    Der Server heißt: mailserver
    Die Domäne lautet analog: contoso.local
    Exchange hat: contoso.local und contoso.de als akzeptierte Domänen

    Welche SAN muss ich angeben. Ich hätte gedacht:

    - mailserver (WINS)
    - mailserver.contoso.de (FQDN außen)
    - mailserver.contoso.local
    - autodiscover.contoso.local
    - autodiscover.contoso.de

    Vielen Grüße


    Montag, 15. November 2010 22:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Gut, dann passt das. Für intern nutzen wir dann mailserver, mailserver.contoso.local und autodiscover.contoso.local (hier musst du dann auch einen eintrag im DNS vornehmen). Für extern mailserver.contoso.de und autodiscover.contoso.de (auch das braucht natürlich einen DNS-Eintrag).

    Deine Liste passt also !

    Um den dazu passenden Request zu erzeugen, kannst du die Powershell verwenden. Wenn du in der Exchange Verwaltungskonsole auf den obersten Punkt auf der linken Seite gehst, zeit er dir in der Mitte Hilfethemen an. Eines davon beschreibt die SSL-Konfiguration. Dort kannst du den Befehl für die Powershell rauskopieren und mit den bvenötigten Namen ergänzen. Als Ergebnis bekommst du dann den Request, den du bei Verisign einreichen kannst.

     

     

    Viele Grüße Carsten
    Montag, 15. November 2010 22:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo ihr zwei,

    nur die kleine Ergänzung, dass die Anforderungen mit einer eigenen CA erfüllt
    werden kann.

    Hier ein paar Infos zum SAN-Zertifikat:
    http://www.msexchangefaq.de/signcrypt/sancert.htm

    ...und noch die allgmeine Zertifikatsübersicht:
    http://www.msexchangefaq.de/howto/e2k7ssl.htm

    Bei Nutzung einer eigenen CA musst du nur darauf achten, dass du das
    Stammzertifikat auf den Mobiles bekannt machst - rüberkopieren und
    starten:http://support.microsoft.com/kb/915840

    Viele Grüße
    Christian

    Dienstag, 16. November 2010 07:24
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    OK - super - vielen Dank für die Links:

    Wie würde das im folgenden Beispiel aussehen:

    Zert-Aussteller: Verisign
    Name des Mailserver: mailserver
    Domäne: domaene.local
    Akzeptiere Domänen in Exchange: domaene.local, domaene.de


    1. Ich erstelle wie folgt den Request in der Exchange Powershell:
    New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.de" -privatekeyexportable:$true -keysize 1024 -Path c:\certificate_request.txt

    https://knowledge.verisign.de/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN_DE&page=content&actp=CROSSLINK&id=SO5675&locale=de_DE&redirected=true


    2. Beim Einreichen gebe ich die SAN (alle erreichbaren Namen) an:
    - mailserver
    - mailserver.domaene.de
    - autodiscover.domaene.de


    3. Das erhaltene Zertifikat importieren:
    Import-ExchangeCertificate -Path c:\cert.cer


    4. Dem Zertifikat die Dienste zuweisen
    Enable-ExchangeCertificate -thumbprint blubberlaberlatsch -Services IIS,POP,IMAP,SMTP
    (Abfrage des Thumbprints mittels Get-ExchangeCertificate | fl)


    5. Zertifikat wird funktionieren - ABER WIE ERSTELLE ICH JETZT DAS ZERTIFIKAT FÜR
    - AUTODISCOVER.DOMAENE.LOCAL
    - MAILSERVER.DOMAENE.LOCAL

    New-ExchangeCertificate -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.local, autodiscover.domaene.local"

    Enable-ExchangeCertificate -thumbprint des selbsterstellen Zertifikates -Services IIS,POP,IMAP,SMTP

    Ist das soweit richtig?????????

    Ist das folgende eine Alternative?
    Ich erstelle eine secondary zone im DNS namens "domaene.de" und setze dort zwei A - Einträge namens
    A - autodiscover auf die IP des lokalen Servers (sich selber)
    A - mailserver auf die IP des lokalen Server (sich selber)

    Ist das ausreichend, oder muss ich noch weitere Eintrage wie z.B. SRV - Einträge oder ähnliches vornehmen.

    Vielen Dank für eure Hilfe
    Viele Grüße

     

    Dienstag, 16. November 2010 08:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    nach deiner Namensliste von oben würde dein Request wie folgt aussehen:

    New-ExchangeCertificate -GenerateRequest -domainname mailserver.contoso.local, mailserver.contoso.de,autodiscover.contoso.local,autodiscover.contoso.de,mailserver, -FriendlyName Anzeigename -privatekeyexportable:$true -path c:\cert_myserver.txt

    Damit hast du allen Namen im Zertifikat die du brauchst. Für Autodiscover musst du in deiner internen Zone (.local) einen Eintrag erstellen. Der wird dann von allen internen Clients verwendet.

    Den externen Namen (autodiscover.*.de) musst du im internet  veröffentlichen und auf die gleiche externe IP verweisen, wie auch mailserver.contoso.de. Dann können auch Clients im Internet diesen Dienst nutzen (auch mobile Clients)

    Wenn du das Zertifikat hast, geht es mit Schritt 3 weiter ;)

    Viele Grüße Carsten
    Dienstag, 16. November 2010 08:54
    |
  • Question
    Anmelden
    0
    Anmelden

    sorry da hat sich ein "," zu viel eingeschlichen ....

    New-ExchangeCertificate -GenerateRequest -domainname mailserver.contoso.local, mailserver.contoso.de,autodiscover.contoso.local,autodiscover.contoso.de,mailserver -FriendlyName Anzeigename -privatekeyexportable:$true -path c:\cert_myserver.txt

     

    Viele Grüße Carsten
    Dienstag, 16. November 2010 08:55
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi <realname please>
     
    > Also, ich möchte folgendes machen:
    >
    > - normaler interner E-Mail-Betrieb (Outlook)
    > - OWA von intern und extern
    > - ActiveSync mit WP7
    >
    > Der Exchange ist bereits veröffentlicht. Es wird bereits mit OWA mittels
    > eines selbstsignierten Zertifikat gearbeitet. Nun soll aber ein
    > Verisign-Zertifikat verwendet werden.
    >
    > Bei den Überlegungen, welche SAN ich mit in das Zertifikat packe, komme
    > ich einfach zu keiner Lösung.
    >
    > Es ist ein kleiner SBS2008.
    > Der Server heißt: mailserver
    > Die Domäne lautet analog: contoso.local
    > Exchange hat: contoso.local und contoso.de als akzeptierte Domänen
    >
    > Welche SAN muss ich angeben. Ich hätte gedacht:
    >
    > - mailserver (WINS)
    > - mailserver.contoso.de (FQDN außen)
    > - mailserver.contoso.local
    > - autodiscover.contoso.local
    > - autodiscover.contoso.de
     
    da es sich um einen SBS (hier 2008) handelt, solltest Du eindringlich wie
    folgt vorgehen:
     
    Introducing the “Add a Trusted Certificate Wizard” in SBS 2008
    http://blogs.technet.com/b/sbs/archive/2008/09/20/introducing-the-add-a-trusted-certificate-wizard-in-sbs-2008.aspx
     
    - bzw. -
     
    Installing a GoDaddy Standard SSL Certificate on SBS 2008
    http://sbs.seandaniel.com/2009/02/installing-godaddy-standard-ssl.html
     
     
    Hintergründe zu der Namensgebung eines SBS 2008 erfährst Du u.a. hier:
     
    What Changes Does the IAMW Make?
    http://blogs.technet.com/b/sbs/archive/2008/10/15/introducing-the-internet-address-management-wizard-part-3-of-3.aspx
     
     
    Kurzzusammenfassung für die Namensgebung eines SBS 2008 Zertifikates für
    dessen vielseitige Verwendung (Exchange, TS-Gateway, RWW, Sharepoint usw.):
     
    Ausgestellt für:
    CN = remote.contoso.de
     
    Alternative Antragssteller:
    DNS-Name=remote.contoso.de
    DNS-Name=autodiscover.contoso.de
    DNS-Name=STN-SERVER.contoso.local
    DNS-Name=contoso.de
     
     
    Tiefere Erkenntnis über die Zusammenhänge bzgl. Zertifikate im Allgemeinen
    erlangt man u.a. hier (sehr zu empfehlen!):
     
    All You Need to Know About Certificates from Templates to Revocation
    http://www.msteched.com/2010/Europe/SIA401
     
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 16. November 2010 09:05
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi ihr beiden,
     
    >>> Es ist ein kleiner SBS2008.
    [..]
    > nach deiner Namensliste von oben würde dein Request wie folgt aussehen:
    >
    > New-ExchangeCertificate -GenerateRequest -domainname
    > mailserver.contoso.local,
    > mailserver.contoso.de,autodiscover.contoso.local,autodiscover.contoso.de,mailserver,
    > -FriendlyName Anzeigename -privatekeyexportable:$true -path
    > c:\cert_myserver.txt
    >
    > Damit hast du allen Namen im Zertifikat die du brauchst. Für Autodiscover
    > musst du in deiner internen Zone (.local) einen Eintrag erstellen. Der
    > wird dann von allen internen Clients verwendet.
     
    Seit wann das denn? Interne (domain-joined) Clients verwenden das AD, um den
    zugehörigen Exchange CAS zu ermitteln:
     
    [..]
    For domain joined clients Outlook is able to find the Autodiscover service
    using a service connection point (SCP). The SCP is an AD entry specific to
    each client access server. When Outlook 2007 is able to securely connect to
    the domain and read this entry from AD, it can connect directly to this URL.
    Once connected to the Autodiscover end point, the Autodiscover service
    provides the client with the URLs of the other exchange web services.
     
    For non domain joined clients or clients that are not able to directly
    access the domain, Outlook is hard coded to find the Autodiscover end point
    by looking up either https://company.com/Autodiscover/Autodiscover.xml or
    https://Autodiscover.company.com/Autodiscover/Autodiscover.xml [und ab
    Updaterollup für Outlook 2007: 27 Juni 2007 auch über den präferierten
    SRV-Eintrag - s.u.] (where company.com is the portion of the users SMTP
    address following the @ sign). This means that to service clients in this
    scenario we must provide connectivity to one of these URLs. On the surface
    this should not be hard; but this connection is made over SSL and requires a
    valid certificate.
    [..]
     
     
    S.a.: How Outlook connects to Exchange 2010 Client Access Server
     - bzw. -
    Understanding the Autodiscover Service
    http://technet.microsoft.com/en-us/library/bb124251.aspx
     
     
    > Den externen Namen (autodiscover.*.de) musst du im internet
    > veröffentlichen und auf die gleiche externe IP verweisen, wie auch
    > mailserver.contoso.de. Dann können auch Clients im Internet diesen Dienst
    > nutzen (auch mobile Clients)
     
    Besser: SRV Eintrag für Autodiscover ab Outlook 2007 SP1 bzw. Updaterollup
    für Outlook 2007: 27 Juni 2007
     
    _autodiscover._tcp.contoso.de SRV 0 100 443 mailserver.contoso.de
     
     
     
    > Wenn du das Zertifikat hast, geht es mit Schritt 3 weiter ;)
     
    wenn ihr es so macht, zerschiesst ihr euch mit sehr hoher Wahrscheinlichkeit
    die darunterliegenden SBS 2008 Konfiguration.
     
    Merke: Ein SBS besteht nicht allein aus einem Exchange Server und deswegen
    ergeben sich Abhängigkeiten, die ein Standard-Admin nicht überblicken kann!
     
    Deshalb: Bitte an die SBS-Wege halten (wie in meinem anderen Posting in
    diesem Thread hingewiesen)!
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 16. November 2010 10:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    OK - das sind Dokumente die ich schon immer wollte, weil ich wissen wollte was die Assistenten beim SBS überhaupt konfigurieren.
    Super - vielen Dank.

    Die New-ExchangeCertificate - Variante ist nur für Memberserver mit Exchange - aber auch hier weiß ich nun bescheid dass ich
    künftig folgende Domains angeben muss:

    New-ExchangeCertificate -GenerateRequest -domainname mailserver.contoso.local, mailserver.contoso.de,autodiscover.contoso.local,autodiscover.contoso.de,mailserver -FriendlyName Anzeigename -privatekeyexportable:$true -path c:\cert_myserver.txt

    Also - nochmals vielen Dank für eure Hilfe

    Mittwoch, 17. November 2010 07:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    damit da kein Missverständnis aufkommt:

    Die New-ExchangeCertificate - Variante ist nur für Memberserver mit Exchange -

    natürlich funktioniert das auch, wenn Exchange auf einem DC installiert
    ist.

    Nur beim SBS müssen grundsätzlich die Assistenten verwendet werden. SBS
    ist das Thema, nicht DC...

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 17. November 2010 17:12
    |