locked
OWA-Zertifikat erneuern ISA 2004 RRS feed

  • Frage

  • Hallo!

    Ok, neues Forum, neues Glück!

    Alle Jahre wieder so steht auch demnächst wieder die Erneuerung des selbsterstellten Zertifikats für OWA an unserem ISA 2004 an. Bin also brav auf den IIS für den Exchange auf unserem SBS 2003 gegangen hab das entsprechende Zertifikat ausgewählt und wollte dann die erforderlichen Schritte wie auch auf msisafaq.de erläutert per localhost/certsrv vervollständigen (=Zertifikat verlängern), musste dann aber abbrechen, da ich die im vorgesehenen Dorp-Down die Vorlage "Webserver" nirgends entdecken konnte. Denke mal, dass man dort nicht einfach nur "Benutzer" auswählen kann.

    Woran könnte dieses Fehlen liegen und ist Abhilfe rel. einfach möglich?

    Spiele nämlich mit dem Gedanken, mir lieber ein von Thawte erstelltes Zertifikat für zwei oder mehr Jahre zu schießen (siehst ja auch ohne Warnmeldung im Browser eleganter aus), da mich das herumgehühner gestern echt genervt hat und mir allmählich der Humor für solche "Überraschungen" á la Microsoft fehlt.

    Die Beantragung / Vorbereitung / Installation solch eines Zertifikats sollte ja analog den schon bekannten Schritten für das o.g. selbsterstellte Zertifikat sein, oder? Also am IIS des Exchange-Servers neu beantragen, installieren, mit Private-Key exportieren und dann das ganze auf dem ISA importieren, dem Listener zuweisen und fertig!

    Da dieses Zert. dann "offiziell" ist muss ja auch auf den mobilen Clients nichts weiter geändert werden, oder?

    Vielen für Eure Antworten

    Smartos

    Mittwoch, 9. Juni 2010 07:02

Antworten

  • Ja, der Gruppe Authenticated Users. Mal sehen wie es weiter geht :-)

    Immer noch in der Hauptstadt?

    • Als Antwort markiert Marc.Grote Donnerstag, 10. Juni 2010 08:34
    Donnerstag, 10. Juni 2010 08:30

Alle Antworten

  • hi smartos,

    ist deine ca domänenintegriert oder standalone? falls zweites, dann taucht das template nicht auf. schau dir auch mal folgenden link (mit folgelinks) an:
    http://blog.forefront-tmg.de/?p=250


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 9. Juni 2010 08:02
  • hi smartos,

    den link der werten kollegen hatte ich eben vergessen:
    http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Zertifikate.htm


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 9. Juni 2010 08:21
  • Hi,

    welchen Typ von Zertifizierungsstelle hast du denn installiert? Bei einer Unternehmens-CA sollte es die Vorlage Webserver geben, bei einer alleinstehenden CA ist die Vorlage Serverauthentifizierung.

    Ein öffentliches Zertifikat für die Veröffentlichung von OWA ist immer sinnvoll, allein schon wegen der Fehlermeldung am Client. Interessant sind auch die Zertifikate von Godaddy, die sind relativ günstig. Die Beantragung eines Zertifikats geht dabei wieder über den IIS. Auf den Websites der öffentlichen Anbieter findest du meistens eine Schritt für Schritt-Anleitung.

    Ob du Zertifikate an dem mobilen Clients importieren musst, hängt alleine davon ab, ob die der Zertifizierungsstelle vertrauen. Bei Godaddy musst du z.B. das Stamm-Zertifikat auf den Windows Mobile Phones installieren, da diese standardmäßig nicht vertrauen.

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    Mittwoch, 9. Juni 2010 08:27
  • Zunächst mal bin ich froh, dass die alten "Gesichter" und ihre unschätzbare Hilfe auch nach Abschaltung der Newsgroups weiterhin zugegen sind. Vielen Dank nochmal auch bei der bewältigung früherer Probleme.

    Die CA liegt auf unserem SBS 2003 und sollte damit sowas von domänenintegriert sein :-)

    Wenn ich das Snap-In der Zertifizierungsstelle öffne, sehe ich auch die entsprechende Vorlage, nur auf der internen Webseite ist sie dann verschwunden.

    Es existiert zwar irgendwo eine Fundstelle, die besagt, dass man sich als Admin anmelden möge und dann die interne certsrv-Page öffnen... nur als Admin bin ich ja schon angemeldet *hmpf*

    Ich denke mal ich werde das Thawte-Zert. nehmen (muss ich je nicht selber zahlen). Das Thwate Stamm-Zertifikat sollte ja auch schon bei den meisten Mobiles installiert sein. Dem iPhone scheint der Herausgeber eh egal zu sein. Ist die Frage, ob das auch brav weiter abruft, wenn das eigene Zertifikat abgelaufen ist. Das wäre natürlich die preiswerteste Lösung.

    Viele Grüße

    Stratos

    Mittwoch, 9. Juni 2010 08:41
  • Hu Hu,

    dann moechte ich auch mal. Sitze gerade in BErlin bei MS und hoere mir den ganzen Tag was zu "Azure" an :-)

    Du musst erst mit DSSITE.MSC die Dienstknoten anzeigen lassen und dann zu den Certificate Serices gehen und dort die Zertifikatvorlagen auswaehlen und fuer das ISA Computerkonto Berechtigungen setzen.

     


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 9. Juni 2010 08:49
  • Hallo Marc, willkommen in der Hauptstadt :-)

    Das setzen der Berechtigungen hat leider nicht geholfen. Die Vorlage "Webserver" ist immer noch nicht verfügbar.

    Grüße

    Stratos

    Mittwoch, 9. Juni 2010 09:06
  • Hi,

    schau mal hier:
    http://blogs.technet.com/b/askds/archive/2010/05/27/designing-and-implementing-a-pki-part-iii-certificate-templates.aspx
    Es kann eine Zeit dauern, bis das Template auftaucht!


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 9. Juni 2010 09:17
  • http://www.experts-exchange.com/Security/Misc/Q_23181382.html

    Den langen Riemen hinabscrollen unter "Accepted Sollution". "Webserver" ist jetzt im DropDown wieder anwählbar.

    Donnerstag, 10. Juni 2010 07:06
  • Hi,

    also dem User EnrollRechte erteilt?


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 10. Juni 2010 07:57
  • Ja, der Gruppe Authenticated Users. Mal sehen wie es weiter geht :-)

    Immer noch in der Hauptstadt?

    • Als Antwort markiert Marc.Grote Donnerstag, 10. Juni 2010 08:34
    Donnerstag, 10. Juni 2010 08:30
  • Hi,

    fast. Bis Ende der Woche in Eberswalde


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 10. Juni 2010 08:34