none
Exchange 2010 - Certificate ersetzen - Fehlermeldung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe hier eine Standard Windows Domain mit Exchange 2010 deployed. Alles soweit Standard und auf einem System installiert.

    Auf dem System ist ein SSL Certificate für Verschlüsselungen hinterlegt, dieses lautet mail.company.net und ist Self-Signed. Auf allen Clients wurde das Certificate importiert, damit keine Fehlermeldungen erscheinen.

    Ich wollte das Certificate nun mit einem Public Certificate von RapidSSL ersetzen, mail.company.net. Sobald ich das Cert aber ersetze, kriegen die Clients eine Cert Warnung, das der Servername nicht mit dem Certificate übereinstimmen würde. Vermutlich OAB Download oder Autodiscover.

    Nun meine Frage:

    Das alte Cert heisst mail.comapny.net, das neue ebenfalls, weshalb bringt er beim neuen nun eine Cert FEhlermeldung und beim alten nicht??

    Dienstag, 22. Mai 2012 10:19
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    Hallo Christian,

    da ergibt sich die Logik bei mir aber nicht. Das alte Cert deckt ja nichts weiter ab als mail.comany.net und das neue auch, weshalb soll das neue also nicht funktionieren ?


    Das ist so nicht richtig.

    Als SubjektAlternateName steht da mehr drin.

    Schau dir diesen Teil vom alten, selfsigned Cert mal an.

    Es gehen bis zu 150 (!) Alternative Namen je Zertifikat.

    Du brauchst in der Regel:
    mail.company.net (um bei deinem Beispiel zu bleiben)
    autodiscover.company.net

    Und wenn du das gleiche Cert auch intern verwenden willst noch zusätzlich:
    exchange.domain.intern
    und als Luxus für die Tippfaulen den Netbios-Namen
    exchange

    ;)

    Gruß Norbert

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 25. Mai 2012 08:06
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Mai 2012 07:25
    Dienstag, 22. Mai 2012 12:30
    |
    Moderator
  • Question
    Anmelden
    1
    Anmelden

    HI,

    ja, normalerweise schon. Ob sich das lohnt sagt dir aber dein Händler, ich hatte vor Kurzem den Fall das 9 Namen günstiger waren wie Wildcart.

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/ Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer"; if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. If a answer or remark helps you to cope with your problem you can "mark it as helpful".

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 25. Mai 2012 08:06
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Mai 2012 07:25
    Dienstag, 22. Mai 2012 16:03
    |
    Moderator
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    um die gleichen Namen und Eigenschaften zu nutzen, kannst du auch das vorhandene zur einer Anforderung durchpipen:
    http://christian-weihs.de/index.php/kategorie-als-blog/93-zertifikat-fuer-exchange-2007-erstellenerneuern

    Ein Cert mit mehreren Namen nennt man SAN-Cert und du kannst auch eine eigene CA nutzen. Das ist in den meisten fällen ausreichend, wenn es eh nur Domain-Clients betrifft:
    http://www.msxfaq.de/signcrypt/firmenca.htm

    Wie gesagt - du wirst es wahrscheinlich auch mit dem einen Namen hinbekommen, wenn du dir meinen ersten Link anschaust...

    Viele Grüße
    Christian

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 25. Mai 2012 08:06
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Mai 2012 07:25
    Dienstag, 22. Mai 2012 16:12
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi repa1982,

    Nun meine Frage:

    Das alte Cert heisst mail.comapny.net, das neue ebenfalls, weshalb bringt er beim neuen nun eine Cert FEhlermeldung und beim alten nicht??

    Es ist jetzt etwas die Frage, welcher Name dir denn nun fehlt.

    Entweder du nimmst diesen noch auf (was beim externen Cert eher nicht geht) oder du passt die internen URLs an:
    http://cohesivelogic.com/2011/01/exchange-2010-single-name-ssl-certificates/

    Viele Grüße
    Christian

    Dienstag, 22. Mai 2012 11:09
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    da ergibt sich die Logik bei mir aber nicht. Das alte Cert deckt ja nichts weiter ab als mail.comany.net und das neue auch, weshalb soll das neue also nicht funktionieren ?


    Dienstag, 22. Mai 2012 12:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi repa1982,

    da ergibt sich die Logik bei mir aber nicht. Das alte Cert deckt ja nichts weiter ab als mail.comany.net und das neue auch, weshalb soll das neue also nicht funktionieren ?

    bist du dir sicher? :-) Poste doch mal Get-ExchangeCertificate|fl name, certificatedomains, services

    Viele Grüße
    Christian

    Dienstag, 22. Mai 2012 12:25
    |
    Moderator
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    Hallo Christian,

    da ergibt sich die Logik bei mir aber nicht. Das alte Cert deckt ja nichts weiter ab als mail.comany.net und das neue auch, weshalb soll das neue also nicht funktionieren ?


    Das ist so nicht richtig.

    Als SubjektAlternateName steht da mehr drin.

    Schau dir diesen Teil vom alten, selfsigned Cert mal an.

    Es gehen bis zu 150 (!) Alternative Namen je Zertifikat.

    Du brauchst in der Regel:
    mail.company.net (um bei deinem Beispiel zu bleiben)
    autodiscover.company.net

    Und wenn du das gleiche Cert auch intern verwenden willst noch zusätzlich:
    exchange.domain.intern
    und als Luxus für die Tippfaulen den Netbios-Namen
    exchange

    ;)

    Gruß Norbert

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 25. Mai 2012 08:06
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Mai 2012 07:25
    Dienstag, 22. Mai 2012 12:30
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Es ist tatsächlich so, dass mehrere altivernative Namen in dem Cert drin sind, Danke für den Command @Christian.

    Nun, wie krieg ich die ganzen Namen in ein öffentliches Cert? Vermutlich gar nicht? Muss ich dazu ein Wildcard verwenden ?

    Dienstag, 22. Mai 2012 13:13
    |
  • Question
    Anmelden
    1
    Anmelden

    HI,

    du solltest prüfen wie viele Namen du benötigst (Urls setzen in den virtuellen IIS - Sites wie OWA, ECP, Active Sync...), dann den Assistenten von Exchange laufen lassen. Das File (Zertifikatsrequest) schickst du dann an beliebige Zertifikatshändler deiner Wahl und forderst ein Angebot dafür an.

    hth

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/ Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer"; if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. If a answer or remark helps you to cope with your problem you can "mark it as helpful".

    Dienstag, 22. Mai 2012 15:46
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    Ich kann aber auch einfach ein WildCard Cert nehmen, korrekt? Es sind 7 Namen...
    Dienstag, 22. Mai 2012 15:55
    |
  • Question
    Anmelden
    1
    Anmelden

    HI,

    ja, normalerweise schon. Ob sich das lohnt sagt dir aber dein Händler, ich hatte vor Kurzem den Fall das 9 Namen günstiger waren wie Wildcart.

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/ Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer"; if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. If a answer or remark helps you to cope with your problem you can "mark it as helpful".

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 25. Mai 2012 08:06
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Mai 2012 07:25
    Dienstag, 22. Mai 2012 16:03
    |
    Moderator
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    um die gleichen Namen und Eigenschaften zu nutzen, kannst du auch das vorhandene zur einer Anforderung durchpipen:
    http://christian-weihs.de/index.php/kategorie-als-blog/93-zertifikat-fuer-exchange-2007-erstellenerneuern

    Ein Cert mit mehreren Namen nennt man SAN-Cert und du kannst auch eine eigene CA nutzen. Das ist in den meisten fällen ausreichend, wenn es eh nur Domain-Clients betrifft:
    http://www.msxfaq.de/signcrypt/firmenca.htm

    Wie gesagt - du wirst es wahrscheinlich auch mit dem einen Namen hinbekommen, wenn du dir meinen ersten Link anschaust...

    Viele Grüße
    Christian

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 25. Mai 2012 08:06
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Mai 2012 07:25
    Dienstag, 22. Mai 2012 16:12
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo repa1982,

    ist die Problematik eigentlich geklärt? Wenn ja - bitte markiere die hilfreichen Beiträge "als Antwort".

    Danke und Grüß,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 25. Mai 2012 08:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo repa1982,

    Wir gehen davon aus, dass die Antworten Dir weitergeholfen haben.
    Wenn ja, wäre es hilfreich wenn Du diese Lösung bestätigen würdest, sodass andere Leute von derselben Situation profitieren können.
    Wenn nein, neue Rückfragen oder Ergänzungen zu diesem Thread bleiben weiterhin möglich.

    Danke und viele Grüße,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 29. Mai 2012 07:25
    |