none
Internes Exchange Zertifikat RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    ich habe dem Exchangeserver ein weiteres Zertifikat hinzugefügt, von einem externen Anbieter. Diesem habe ich die Dienste POP3, IMAP und SMTP zugeordnet. Die gleichen Dienste die das bei der Installation erstellte Zertifikat verrichtet. Leider kann ich diesem die Dienste nicht entziehen (ausgegraut), demnach werde ich es wohl löschen müssen!?
    Kann ich dies ohne bedenken tun oder ist dabei was zu beachten oder gar nicht zu empfehlen das Zertifikat zu löschen?

    Gruß
    Bacon_Royal
    Donnerstag, 7. Juli 2011 06:12

Alle Antworten

  • Hallo Bacon Royal,

    wenn dem neuen Zertifikat alle Dienste zugeordnet sind, kannst Du es löschen.

    Zur Sicherheit kannst Du es auch noch einmal exportieren mit privatem Schlüssel:

    http://technet.microsoft.com/de-de/library/aa996305.aspx

    Gruß,Christoph

    Donnerstag, 7. Juli 2011 06:26
  • Ok,

    dazu noch kurz eine Frage. Über diesem Weg ist der priv. Key direkt enthalten ja? Über die MMC / Zertifikate konnte ich diesen nämlich nicht exportieren.

    Donnerstag, 7. Juli 2011 06:28
  • Hallo,

    wenn Du in eine PKCS#12 Datei exportierst, ist der private Schlüssel enthalten. Rausfallen wird eine .pfx Datei, welche mit einem Passwort versehen ist,

    damit sich nicht jemand einfach das Schlüsselpaar importieren kann.

      GGfs kannst  Du den Schlüssel nach Export nochmal auf einem Windows Rechner importieren und prüfen, ob der private Schlüssel dabei ist.

    Gruß


    Donnerstag, 7. Juli 2011 06:40
  • Hallo Christoph,

    wenn ich es nach dem Microsoft Artikel probiere, erhalte ich leider folgende Meldung:

    [PS] C:\Windows\system32>$file = Export-ExchangeCertificate -Thumbprint 14F6BE89B3A287178AFE1689F0059A42CF0FEB64 -Binary
    Encoded:$true -Password (Get-Credential).password

    Cmdlet Get-Credential an der Befehlspipelineposition 1
    Geben Sie Werte für die folgenden Parameter an:
    Credential
    Der private Schlüssel konnte nicht als PKCS-12 exportiert werden. Entweder war kein Zugriff möglich, oder der Schlüssel
     kann nicht exportiert werden.
        + CategoryInfo          : InvalidArgument: (:) [Export-ExchangeCertificate], InvalidOperationException
        + FullyQualifiedErrorId : 79D0D1AB,Microsoft.Exchange.Management.SystemConfigurationTasks.ExportExchangeCertificate


    Gruß
    Bacon_Royal

    Donnerstag, 7. Juli 2011 07:02
  • Hallo Bacon Royal, wir reden hier von dem bei der Installation erstellen Exchange Zertifikat oder? Dies kann man meines Wissens nach nicht mit dem Private Key exportieren. Warum willst du es denn überhaupt löschen? Ich lasse das immer so stehen. Die Dienste übertrage ich auch auf ein neues und dann stört es ja keinen mehr.
    Viele Grüße - Malte Schoch - www.msblog.eu
    Donnerstag, 7. Juli 2011 07:10
  • Hallo Malte,
    exakt von diesem reden wir.
    Ich habe für den internen Namen des Exchange ein Zertifikat von einem externen Anbieter gekauft. Dieses beinhaltet also exchange.domain.local. Die Dienste wurden auf diesem Übertragen, allerdings erhalte ich immernoch Zertifikatswarnungen für exchange.domain.local. Ich vermute das sich die zwei Zertifikate da vielleicht blockieren bzw., dass das gekaufte noch nicht richtig verwendet wird.
    In einer anderen Domäne auf einem anderen EXCH2010 habe ich das gleiche Szenario (auch noch beide Zertifikate vorhande), dort funktioniert es einwandfrei.

    Gruß
    Bacon_Royal
    Donnerstag, 7. Juli 2011 07:13
  • Hallo Bacon Royal,

    Fehlermeldung im Outlook bzw OWA?

    du musst das Zertifikat auch für den IIS aktivieren.


    Viele Grüße - Malte Schoch - www.msblog.eu
    Donnerstag, 7. Juli 2011 07:24
  • Für den IIS habe ich ein separtes, welches auf den externen Namen der OWA Freigabe ausgestellt ist. So kann ich verhindern das eine Fehlermeldung erscheint wenn User die Seite von extern benutzen (dieses war von einem kostenlosen Anbieter).

    Auf dem Exchange in der anderen Domäne wo das ganze läuft, ist es so das wenn intern OWA aufgerufen wird ein Zertifikatsfehler kommt weil https://exchange.domain.local/owa aufgerufen wird (steht nicht im Cert). Da das aber niemand tut, sondern nur von extern, habe ich dazu das für den externen Namen verwendet.

    Wenn ich nun das extern gekaufte für den IIS aktivieren würde, wäre es ja genau andersrum!?
    Donnerstag, 7. Juli 2011 07:32
  • Hallo zusammen,

    stimmt, ich war falsch ! Das selbst signierte lässt sich nicht mit privatem Schlüssel exportieren. Hatte das nicht mehr auf dem Schirm da ich immer eine PKI zur Hand hatte.

    Sorry für die Fehlinformation. Wie Malte schon sagte, kann man es auch stehen lassen, ich habe es eigentlich immer gelöscht, wenn die Sachen mit dem neuen liefen.

    Gruß

    Donnerstag, 7. Juli 2011 07:34
  • Hallo Bacon Royal,
    Für den IIS habe ich ein separtes, welches auf den externen Namen der OWA Freigabe ausgestellt ist. So kann ich verhindern das eine Fehlermeldung erscheint wenn User die Seite von extern benutzen (dieses war von einem kostenlosen Anbieter).

    Ok sorry wusste ich nicht - Dachte du willst ein Zertifikat für alles nutzen.

    Was wird denn bei dem Fehler genau angemeckert? Der Name oder der Zertifizierungspfad? Vertrauen alle Clients dem Root CA?


    Viele Grüße - Malte Schoch - www.msblog.eu
    Donnerstag, 7. Juli 2011 07:42
  • Hi,

    also wenn ich Outlook 2010 starte, kommt ein Sicherheitshinweis für EXCHANGE.DOMAIN.LOCAL. Wenn ich mir das Zertifikat angucken, steht dort ausgestellt für mail.domain.com. Also das OWA Zertifikat. Wenn ich mir den Zertifizierungspfad angucke, ist dieser ohne Fehler gültig.
    Kann man das ganze nicht so separieren, dass ich nur für OWA extern das IIS Zertifikat für mail.domain.com verwende und für alles andere das interne? So wäre ja dann alles den Zertifikaten entsprechend.
    Donnerstag, 7. Juli 2011 07:47
  • Moin,

    Hallo Bacon Royal, wir reden hier von dem bei der Installation erstellen Exchange Zertifikat oder? Dies kann man meines Wissens nach nicht mit dem Private Key exportieren.

    korrekt. Beim automatischen Selfsigned ist der private Key nicht exportierbar.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 7. Juli 2011 07:56
  • On Thu, 7 Jul 2011 07:32:09 +0000, Bacon Royal wrote:

    Für den IIS habe ich ein separtes, welches auf den externen Namen der OWA Freigabe ausgestellt ist. So kann ich verhindern das eine Fehlermeldung erscheint wenn User die Seite von extern benutzen (dieses war von einem kostenlosen Anbieter).

    Hier ist das Problem. Eine SSL-Seite kann nur ein Zertifikat habe (das ist eine Besonderheit des HTTPS-Protokolls).

    Daher musst Du alle Namen in das Zertifikat aufnehmen, die benutzt werden - die internen und die externen.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 7. Juli 2011 07:58
  • Hallo Robert,

    entschuldigen meine Skepsis, aber warum funktioniert es auf dem anderem Server ohne Probleme?
    Das Problem ist, wie soll ich dieses neu ausstellen. Das interne ist lediglich für exchange.domain.local ausgestellt und wurde bereits ausgestellt. Dann bräuchte ich ja schon ein Wildcard Zertifikat, oder nicht? Aber selbst da wäre die Problematik mit domain.local und domain.com.
    Habt Ihr einen Lösungsansatz für mich?

    Donnerstag, 7. Juli 2011 08:07
  • Moin,

    entschuldigen meine Skepsis, aber warum funktioniert es auf dem anderem Server ohne Probleme?

    weil die eventuell anders konfiguriert sind? Woher soll ich das wissen, wenn Du die Konfig nicht genau beschreibst.

    Fakt ist: Ist eine URL, über die HTTPS aufgerufen wird, nicht im Zertifikat enthalten, gibt es einen Fehler. Und Fakt ist weiterhin, dass es für eine SSL-Seite genau ein Zertifikat gibt (zumindest beim IIS, bei Apache gibt es mittlerweile "Tricks" gegen diese Einschränkung).

    Dann bräuchte ich ja schon ein Wildcard Zertifikat, oder nicht?

    Die sind auch eine Möglichkeit und bei Exchange sogar erlaubt. Allerdings gibt es öfter Probleme damit (z.B. bei Windows Mobile), so dass sie zumindest keine Empfehlung haben (aber auch kein Verbot).

    Aber selbst da wäre die Problematik mit domain.local und domain.com.

    Korrekt.

    Habt Ihr einen Lösungsansatz für mich?

    Du kannst probieren, mit DNS zu tricksen:
    http://www.server-talk.eu/2008/11/09/how-to-exchange-server-2007-web-services-mit-einem-single-name-certificate/

    Aber im Endeffekt bleibt am Ende nur: Ein fehlerfreies Zertifikat auszustellen.

    Wobei ich ehrlich gesagt nicht mehr so richtig verstehe, was eigentlich Dein konkretes Problem ist, da du zwischen verschiedenen Diensten (SMTP,POP3 und IIS) springst.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 7. Juli 2011 08:14
  • Also,
    ich versuche es mal zu erläutern. Ich habe in Domäne A (wovon wir hier im Thread reden) ein Zertifikat für mail.domain.com von startssl.com. Dieses wird für den Dienst IIS verwendet. Dazu habe ich noch ein Zertifikat von psw.net für den internen Namen: exchange.domain.local

    Das gleiche Szenario habe ich auf Domäne B, wo Outlook 2010 Clients kein Sicherheitshinweis bekommen, wenn Sie Outlook öffnen. Kann das vielleicht auch damit zusammenhängen, dass bei den Clients in den Einstellungen des Internet Exploresr im Proxy die Adresse exchange.domain.local (b) als Adresse eingetragen ist, bei der kein Proxy verwendet werden soll? Aber selbst dann müsste es ja zu dem Sicherheitshinweis kommen..

    Also ich versuche es mal zu veranschaulichen:

     

    Das erste Bild ist Domäne A:
    Dort steht beim Ersten Zertifikat im Betreff mail.domain.local
    Beim zweiten steht CN=exchange.domain.local
    Das letzte ist das selbst erstellte vom Exchange.

    http://imageshack.us/photo/my-images/163/76091324.png/

    Das hier ist Domäne B (wo alles funktioniert):

    Beim Ersten steht CN=exchange.domain.local
    Das mittlere ist das selbst erstellte vom Exchange.
    Dort steht beim letzten Zertifikat CN=mail.domain.local

    http://imageshack.us/photo/my-images/14/92896251.png/

    Vielleicht gibt das mehr Aufschluss.


    Donnerstag, 7. Juli 2011 12:37
  • Moin,

    ich versuche es mal zu erläutern. Ich habe in Domäne A (wovon wir hier im Thread reden) ein Zertifikat für mail.domain.com von startssl.com. Dieses wird für den Dienst IIS verwendet.

    Ok.

    Dazu habe ich noch ein Zertifikat von psw.net für den internen Namen: exchange.domain.local

    Wie man auch auf beiden Screenshots erkennen kann, wird nur eines für IIS benutzt.

    BTW: Auch wenn es billig war: Rausgeworfenes Geld  - ein mit einer eigene PKI ausgestelltes hätte es auch getan, vorallem wenn dann das Zertifikat noch nicht mal benutzt wird. ;)

    . Kann das vielleicht auch damit zusammenhängen, dass bei den Clients in den Einstellungen des Internet Exploresr im Proxy die Adresse exchange.domain.local (b) als Adresse eingetragen ist, bei der kein Proxy verwendet werden soll? Aber selbst dann müsste es ja zu dem Sicherheitshinweis kommen..

    Kann ich mir nicht vorstellen, aber probiere es aus, in dem Du die Proxy-Einstellung änderst.

    Das erste Bild ist Domäne A:
    Dort steht beim Ersten Zertifikat im Betreff mail.domain.local

    Das wird für IIS benutzt.

    Beim zweiten steht CN=exchange.domain.local

    Das nicht.

    Das hier ist Domäne B (wo alles funktioniert):

    Beim Ersten steht CN=exchange.domain.local

    Das wird nicht für den IIS benutzt.

    Dort steht beim letzten Zertifikat CN=mail.domain.local

    Aber das hier.

    Benutze auf beiden Outlooks mal das Outlook "E-Mail-Autokonfiguration testen..." und schau Dir an, welche URLs für Autodiscover (Reiter "Protokoll") und welche für die Webservices ("Ergebnisse")  benutzt wird. Ich denke eher, dass unterschiedliche DNS- und/oder SCP (=Dienstverbindungspunkt in deutsch)-Einstellungen benutzt werden.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 7. Juli 2011 16:25
  • Irgendiwe weiß ich gar nicht, worum es in dem Thread eigentlich nocht geht: Um das löschen eines alter Certs oder eines Cert-Problemes am Client?

    Wenn es Client nur den externen Namen des Exchange-Servers kenn und diesen darüber versucht aufzulösen, kann es zu Zertifikatsproblemen kommen, wenn diese über einen Proxy geleitet werden. Daher ist die lokale ausnahme wichtig.

    Auch solltest du mal schauen, wie deine virtuellen Directories lauten, wenn du im Certifikat nur einen Namen hast:

    http://cohesivelogic.com/2011/01/exchange-2010-single-name-ssl-certificates/

    Viele Grüße

    Christian

    Freitag, 8. Juli 2011 05:53
    Moderator
  • Auch solltest du mal schauen, wie deine virtuellen Directories lauten, wenn du im Certifikat nur einen Namen hast:

    http://cohesivelogic.com/2011/01/exchange-2010-single-name-ssl- *cert*ificates/ <http://cohesivelogic.com/2011/01/exchange-2010-single-name-ssl-certificates/>

    Wobei diese Split-DNS-Konfig in der Praxis leider auch einige Probleme hat. Außerdem muss man im internen Netzwerk dann seinen DNS verbiegen, was eventuell auch nicht geht.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 8. Juli 2011 06:03
  • Hallo Bacon Royal,

     

    Hat die Antwort Dir weitergeholfen um das Problem zu lösen?

    Viele Grüße,

    Alex

     

    Donnerstag, 28. Juli 2011 07:46
  • Hallo Alex,

    mehr oder minder.
    Das Thema kann jedenfalls geschlossen werden.

    Gruß & Danke
    Bacon Roya

    Donnerstag, 28. Juli 2011 08:17