none
neues Exchange Zertifikat erstellen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo.

    In unserer Domänenstruktur hatten wir bis vor kurzem einen SBS und einen eigenen Exchange Server. (Der Exchange vom SBS wurde sauber aus dem AD entfernt.) Das Ganze läuft auch problemlos.

    Nun möchte ich jedoch den SBS aus dem AD entfernen. Da der SBS ja auch PKI gespielt hat, habe ich nun diese zuerst am SBS mal deinstalliert und dann auf einem neuen DC die Rollen der Zertifizierung installiert. Somit habe ich nur eine einzige PKI im AD. Auf dem neuen Server habe ich ein neues Stammzertifikat erstellt und dieses auf den Exchange Server und die Clients verteilt.

    Am Exchange Server habe ich jedoch noch die alten Zertifikate drinnen. Ich möchte mir ein Zertifikat für intern (domain.local) und ein Zertifikat für extern (remote.domain.com) machen (für OWA Outlook Anywhere etc).

    Wenn ich die Zertifikatsanforderung (req File) am PKI einreichen möchte bekomme ich die Meldung:

    Die Daten sind unzulässig. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA).

    Ich mache dies zum ersten Mal und bin mir nicht ganz sicher was ich unter den Organisationseinheiten eingeben muss: Sind das OUIs vom AD?

    Danke schon im Voraus für eure Hilfe

    Mittwoch, 11. Februar 2015 12:20
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    grundsätzlich solltest Du über Split DNS nachdenken. Es ist technisch überhaupt kein Problem, den Nmane "remote.domain.com" auch intern zu verwenden. Der Vorteil ist, dass Du nur eine Konfig brauchst und Fehlersuche damit deutlich erleichtert wird. Außerdem ist ein eventueller Wechsel auf ein gekauftes Zertifikat damit auch einfacher.

    Wenn Du eine interne CA betreibst, sind die Angaben im Zertifikat egal. Du wirst Dir selbst ja vertrauen. ;)

    Wichtig sind dann nur die URLs.

    Zu Deinem Fehler: Ein SAN-Zertfikat (also ein Zertifikat mit mehreren Namen), so wie es Exchange erzeugt, kannst Du in einer WIndows PKI nur via Web-Seite oder via certreq.exe einreichen! Eine Einreichung via MMC geht nicht und bringt den genannten Fehler. Ich persönlich nutze immer die Webseite, ist halt einfacher.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Peter Putz LGH Donnerstag, 12. Februar 2015 06:15
    Mittwoch, 11. Februar 2015 15:42
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    grundsätzlich solltest Du über Split DNS nachdenken. Es ist technisch überhaupt kein Problem, den Nmane "remote.domain.com" auch intern zu verwenden. Der Vorteil ist, dass Du nur eine Konfig brauchst und Fehlersuche damit deutlich erleichtert wird. Außerdem ist ein eventueller Wechsel auf ein gekauftes Zertifikat damit auch einfacher.

    Wenn Du eine interne CA betreibst, sind die Angaben im Zertifikat egal. Du wirst Dir selbst ja vertrauen. ;)

    Wichtig sind dann nur die URLs.

    Zu Deinem Fehler: Ein SAN-Zertfikat (also ein Zertifikat mit mehreren Namen), so wie es Exchange erzeugt, kannst Du in einer WIndows PKI nur via Web-Seite oder via certreq.exe einreichen! Eine Einreichung via MMC geht nicht und bringt den genannten Fehler. Ich persönlich nutze immer die Webseite, ist halt einfacher.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Peter Putz LGH Donnerstag, 12. Februar 2015 06:15
    Mittwoch, 11. Februar 2015 15:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert.

    Danke für die Antwort.

    Via Website geht es ohne Probleme. Outlook Anywhere und OWA läuft schon problemlos.

    Mercy.

    Donnerstag, 12. Februar 2015 06:15
    |