none
Certificato Exchange 2007 su windows server 2003 r2x64 RRS feed

  • Domanda

  • Ciao a tutti

    Vi chiedo un aiuto per risolvere un problema che molto probabilmente affliggerà il mio exchange tra 1 mese.

    La scadenza del certificato

     

    Il certificato è assegnato da una CA pubblica quindi paghiamo per il servizio.

     

    Volevo chiedervi 2 cose:

    1: Richiedere un nuovo certificato da installare sul server

    2: Rinnovo di quello attuale

     

    Grazie a tutti e buona giornata

    lunedì 7 novembre 2011 15:13

Risposte

  • Ciao Julia,
    dipende dalla CA normalmente.

    Personalmente farei una nuova richiesta se pensate di migrare prima o poi ad exchange 2010.
    Se pensate di farlo registra tra i vari valori SAN anche legacy.nomeazienda.it ti viene utile in fase di migrazione.
    fai una nuova richiesta di certificato mediante la console di exchange

    New-ExchangeCertificate -GenerateRequest -Path c:\mail_icubed_it.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mail.icubed.it" -DomainName autodiscover.icubed.it, legacy.icubed.it -PrivateKeyExportable $True

    Fatta la richiesta vai nella console della CA e sottometti il csr generato. 

    La CA ti rilascia un file .cer e lo importi in exchange mediante la console di exchange.

    Import-ExchangeCertificate -path c:\icubed.cer

    A questo punto puoi abilitare i servizi di exchange mediante la cmdlet

    Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXX -service IIS,SMTP,ecc.ecc.

    Saluti

    .m

    Massimiliano Luciani

     

     

    • Contrassegnato come risposta Anca Popa lunedì 14 novembre 2011 07:54
    lunedì 7 novembre 2011 16:26

Tutte le risposte

  • Ciao Julia,
    dipende dalla CA normalmente.

    Personalmente farei una nuova richiesta se pensate di migrare prima o poi ad exchange 2010.
    Se pensate di farlo registra tra i vari valori SAN anche legacy.nomeazienda.it ti viene utile in fase di migrazione.
    fai una nuova richiesta di certificato mediante la console di exchange

    New-ExchangeCertificate -GenerateRequest -Path c:\mail_icubed_it.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mail.icubed.it" -DomainName autodiscover.icubed.it, legacy.icubed.it -PrivateKeyExportable $True

    Fatta la richiesta vai nella console della CA e sottometti il csr generato. 

    La CA ti rilascia un file .cer e lo importi in exchange mediante la console di exchange.

    Import-ExchangeCertificate -path c:\icubed.cer

    A questo punto puoi abilitare i servizi di exchange mediante la cmdlet

    Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXX -service IIS,SMTP,ecc.ecc.

    Saluti

    .m

    Massimiliano Luciani

     

     

    • Contrassegnato come risposta Anca Popa lunedì 14 novembre 2011 07:54
    lunedì 7 novembre 2011 16:26
  • Sinceramente mi pare un gran casino :)

     

    Non è possibile fare il tutto usando la versione grafica?

    Se non fosse possibile Il mio server si chiama mbox.zaniniindustries.com come genereresti la richiesta di certificato?

     

    Nel secondo script indichi : enable-exchaneCertificate- potresti scrivere lo script completo? (senza ecc ecc ecc)

     

     

    Grazie per l'aiuto e buona giornata

     

    martedì 8 novembre 2011 07:41
  • Ciao Julia,
    non è incasinato, ci vuole un pò di conoscenza per fare le cose.

    Ti semplifico un pò la procedura, nel cn=metti l'attuale url che utilizzi per accedere ad owa. cambia poi le estensioni icubed con il tuo dominio internet.

    New-ExchangeCertificate -GenerateRequest -Path c:\mail_icubed_it.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mail.icubed.it" -DomainName autodiscover.icubed.it, legacy.icubed.it -PrivateKeyExportable $True

    generato il file csr, mettilo nella CA e fatti rilasciare il file .cer

    Import-ExchangeCertificate -path c:\icubed.cer | enable-exchangecertificate -service IIS,SMTP,POP,IMAP

    Più semplice di cosi non esiste, in bocca al lupo :-)

    .m

    Massimiliano Luciani

     

    martedì 8 novembre 2011 08:49
  • Ciao

     

    Ricapitolando, il mio exchange si chiama:  https://mbox.zaniniindustries.com/owa   nome dominio interno: zgroup.int

     

    Come genereresti il certificato?

    Inoltre se genero il certificato rischio di fare qualche danno al certificato che viene utilizzato in questo momento :)

     

    Grazie ancora

     

     

    martedì 8 novembre 2011 10:13
  • Ti do un consiglio che non c'entra nulla con exchange. Non pubblicare mai indirizzi reali nei forum.
    Detto ciò, ho dato un'occhiata all'attuale certificato che avete.

    Il certificato non ha estensioni SAN, quindi non state sfruttando tutti i servizi di exchange dall'esterno, in particolare l'autodiscover non penso stia funzionando e con lui tutti i servizi annessi (oof,free/busy ecc.)

    Detto ciò dovete acquistare un certificato SSL con estensioni SAN.

    New-ExchangeCertificate -GenerateRequest -Path c:\certificato.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mbox.zaniniindustries.com" -DomainName autodiscover.zaniniindustries.com, legacy.zaniniindustries.com -PrivateKeyExportable $True

    Nel subject name  metti i riferimenti della tua azienda, io ho messo quelli della mia.

    Se genere il certificato non fai danni, il certificato viene assegnato ai servizi del server nel secondo punto, quindi è li che puoi fare danni :o)

    .m

    Massimiliano Luciani

     

    martedì 8 novembre 2011 10:42
  • ahhh.... non so perchè ma subject name lo avevo inteso come una stringa LDAP......

     

    Mi sai delucidare meglio sulle setensioni SAN e i servizi annessi, oppure poi linkarmi a qualche info by microsoft?

     

    Grazie

     

    martedì 8 novembre 2011 11:07
  • forse perchè il nome SN è simile al DN ovvero distinguished name utilizzato in ldap.

    Un certificato ssl serve principalmente a 2 cose:

    1. Crittografare il canale di comunicazione
    2. Autenticare il server

    Per quanto riguarda l'autenticazione il SN del certificato deve essere uguale all' FQDN che richiami mediante il browser (nel tuo caso mbox.zaniniindustries.com).
    Exchange utilizza anche il nome autodiscover.zaniniindutries.com per localizzare il servizio di autoconfigurazione della posta ed altri servizi ad esso annessi, quindi quando fa la chiama autodiscover.zaniniindutries.com il nome FQDN non matcha piu con il valore SN del certificato.

    Ecco che ti vengono in aiuto le estensioni san in un certificato.
    Se guardi il primo comando che ti ho dato vedrai la lista dei SAN nella richiesta (parametro domainname)

    Spero di essere stato chiaro, comunque segui la guida che ti ho dato facendo la richiesta come ti ho scritto e vedrai che non avrai nessun problema

    Saluti
    .m

    Massimiliano Luciani

     

    martedì 8 novembre 2011 12:53
  • Ciao

     

    IL certificato è scaduto.

    QUandoimporto quello nuovo mi dice:

    Cannot be imported or he passwordis wrong.

     

     

    RIesci a spiegarmi cosa succede?

     

    Grazie

    domenica 11 dicembre 2011 08:09
  • risolto

     

    tramite il cmdlet  get-exchangecerticate ho notato che il thumbprint era gia stato importato, cosi ho semplicemente fatto enable e alla richiesta di sovrascrizione o dato yes.

     

    spero che ppossa a servire a qualcuno

     

    ciao

    domenica 11 dicembre 2011 09:00