Remove From My Forums

Certificato Exchange 2007 su windows server 2003 r2x64

Domanda
0

Registrati per votare

Ciao a tutti

Vi chiedo un aiuto per risolvere un problema che molto probabilmente affliggerà il mio exchange tra 1 mese.

La scadenza del certificato

Il certificato è assegnato da una CA pubblica quindi paghiamo per il servizio.

Volevo chiedervi 2 cose:

1: Richiedere un nuovo certificato da installare sul server

2: Rinnovo di quello attuale

Grazie a tutti e buona giornata

lunedì 7 novembre 2011 15:13

Risposta

|

Citazione

Risposte

1

Registrati per votare
Ciao Julia,
dipende dalla CA normalmente.

Personalmente farei una nuova richiesta se pensate di migrare prima o poi ad exchange 2010.
Se pensate di farlo registra tra i vari valori SAN anche legacy.nomeazienda.it ti viene utile in fase di migrazione.
fai una nuova richiesta di certificato mediante la console di exchange

New-ExchangeCertificate -GenerateRequest -Path c:\mail_icubed_it.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mail.icubed.it" -DomainName autodiscover.icubed.it, legacy.icubed.it -PrivateKeyExportable $True

Fatta la richiesta vai nella console della CA e sottometti il csr generato.

La CA ti rilascia un file .cer e lo importi in exchange mediante la console di exchange.

Import-ExchangeCertificate -path c:\icubed.cer

A questo punto puoi abilitare i servizi di exchange mediante la cmdlet

Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXX -service IIS,SMTP,ecc.ecc.

Saluti

.m

Massimiliano Luciani
- Contrassegnato come risposta Anca Popa lunedì 14 novembre 2011 07:54
lunedì 7 novembre 2011 16:26

Risposta

|

Citazione

Tutte le risposte

1

Registrati per votare
Ciao Julia,
dipende dalla CA normalmente.

Personalmente farei una nuova richiesta se pensate di migrare prima o poi ad exchange 2010.
Se pensate di farlo registra tra i vari valori SAN anche legacy.nomeazienda.it ti viene utile in fase di migrazione.
fai una nuova richiesta di certificato mediante la console di exchange

New-ExchangeCertificate -GenerateRequest -Path c:\mail_icubed_it.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mail.icubed.it" -DomainName autodiscover.icubed.it, legacy.icubed.it -PrivateKeyExportable $True

Fatta la richiesta vai nella console della CA e sottometti il csr generato.

La CA ti rilascia un file .cer e lo importi in exchange mediante la console di exchange.

Import-ExchangeCertificate -path c:\icubed.cer

A questo punto puoi abilitare i servizi di exchange mediante la cmdlet

Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXX -service IIS,SMTP,ecc.ecc.

Saluti

.m

Massimiliano Luciani
- Contrassegnato come risposta Anca Popa lunedì 14 novembre 2011 07:54
lunedì 7 novembre 2011 16:26

Risposta

|

Citazione
0

Registrati per votare

Sinceramente mi pare un gran casino :)

Non è possibile fare il tutto usando la versione grafica?

Se non fosse possibile Il mio server si chiama mbox.zaniniindustries.com come genereresti la richiesta di certificato?

Nel secondo script indichi : enable-exchaneCertificate- potresti scrivere lo script completo? (senza ecc ecc ecc)

Grazie per l'aiuto e buona giornata

martedì 8 novembre 2011 07:41

Risposta

|

Citazione
1

Registrati per votare

Ciao Julia,
non è incasinato, ci vuole un pò di conoscenza per fare le cose.

Ti semplifico un pò la procedura, nel cn=metti l'attuale url che utilizzi per accedere ad owa. cambia poi le estensioni icubed con il tuo dominio internet.

New-ExchangeCertificate -GenerateRequest -Path c:\mail_icubed_it.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mail.icubed.it" -DomainName autodiscover.icubed.it, legacy.icubed.it -PrivateKeyExportable $True

generato il file csr, mettilo nella CA e fatti rilasciare il file .cer

Import-ExchangeCertificate -path c:\icubed.cer | enable-exchangecertificate -service IIS,SMTP,POP,IMAP

Più semplice di cosi non esiste, in bocca al lupo :-)

.m

Massimiliano Luciani

martedì 8 novembre 2011 08:49

Risposta

|

Citazione
0

Registrati per votare

Ciao

Ricapitolando, il mio exchange si chiama: https://mbox.zaniniindustries.com/owa nome dominio interno: zgroup.int

Come genereresti il certificato?

Inoltre se genero il certificato rischio di fare qualche danno al certificato che viene utilizzato in questo momento :)

Grazie ancora

martedì 8 novembre 2011 10:13

Risposta

|

Citazione
1

Registrati per votare

Ti do un consiglio che non c'entra nulla con exchange. Non pubblicare mai indirizzi reali nei forum.
Detto ciò, ho dato un'occhiata all'attuale certificato che avete.

Il certificato non ha estensioni SAN, quindi non state sfruttando tutti i servizi di exchange dall'esterno, in particolare l'autodiscover non penso stia funzionando e con lui tutti i servizi annessi (oof,free/busy ecc.)

Detto ciò dovete acquistare un certificato SSL con estensioni SAN.

New-ExchangeCertificate -GenerateRequest -Path c:\certificato.csr -KeySize 2048 -SubjectName "c=it, s=mi, l=milano, o=icubed srl, ou=messaging, cn=mbox.zaniniindustries.com" -DomainName autodiscover.zaniniindustries.com, legacy.zaniniindustries.com -PrivateKeyExportable $True

Nel subject name metti i riferimenti della tua azienda, io ho messo quelli della mia.

Se genere il certificato non fai danni, il certificato viene assegnato ai servizi del server nel secondo punto, quindi è li che puoi fare danni :o)

.m

Massimiliano Luciani

martedì 8 novembre 2011 10:42

Risposta

|

Citazione
0

Registrati per votare

ahhh.... non so perchè ma subject name lo avevo inteso come una stringa LDAP......

Mi sai delucidare meglio sulle setensioni SAN e i servizi annessi, oppure poi linkarmi a qualche info by microsoft?

Grazie

martedì 8 novembre 2011 11:07

Risposta

|

Citazione
1

Registrati per votare

forse perchè il nome SN è simile al DN ovvero distinguished name utilizzato in ldap.

Un certificato ssl serve principalmente a 2 cose:

1. Crittografare il canale di comunicazione
2. Autenticare il server

Per quanto riguarda l'autenticazione il SN del certificato deve essere uguale all' FQDN che richiami mediante il browser (nel tuo caso mbox.zaniniindustries.com).
Exchange utilizza anche il nome autodiscover.zaniniindutries.com per localizzare il servizio di autoconfigurazione della posta ed altri servizi ad esso annessi, quindi quando fa la chiama autodiscover.zaniniindutries.com il nome FQDN non matcha piu con il valore SN del certificato.

Ecco che ti vengono in aiuto le estensioni san in un certificato.
Se guardi il primo comando che ti ho dato vedrai la lista dei SAN nella richiesta (parametro domainname)

Spero di essere stato chiaro, comunque segui la guida che ti ho dato facendo la richiesta come ti ho scritto e vedrai che non avrai nessun problema

Saluti
.m

Massimiliano Luciani

martedì 8 novembre 2011 12:53

Risposta

|

Citazione
0

Registrati per votare

Ciao

IL certificato è scaduto.

QUandoimporto quello nuovo mi dice:

Cannot be imported or he passwordis wrong.

RIesci a spiegarmi cosa succede?

Grazie

domenica 11 dicembre 2011 08:09

Risposta

|

Citazione
0

Registrati per votare

risolto

tramite il cmdlet get-exchangecerticate ho notato che il thumbprint era gia stato importato, cosi ho semplicemente fatto enable e alla richiesta di sovrascrizione o dato yes.

spero che ppossa a servire a qualcuno

ciao

domenica 11 dicembre 2011 09:00

Risposta

|

Citazione

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

Certificato Exchange 2007 su windows server 2003 r2x64

Domanda

Risposte

Tutte le risposte