none
Problema certificato CN<> dal vero nome

    Domanda

  • Buongiorno a tutti,

    per una serie di problemi ho dovuto creare un nuovo certificato di exchange. Soltanto che per errore il nome che compare adesso nel campo CN è diverso da quello che in realtà dovrebbe essere. Infatti è diverso dall'autodiscover, dall'FQDN e dal nome del server.

    Adesso tutti i client interni ricevono all'apertura l'errore di avviso di sicurezza "il nome del certificato di sicurezza non è valido o non corrisponde al nome del sito"

    Volevo rimuoverlo per rigenerarlo con questa procedura https://social.technet.microsoft.com/wiki/contents/articles/13916.how-to-use-a-self-signed-certificate-in-exchange-2010.aspx , ma anche così non appena ne creo un altro, sparisce dopo neanche un secondo.

    E' possibile modificare il campo CN?

    E' possibile creare un nuovo certificato e sostituirlo oppure far scadere quello corrente e ricrearne uno nuovo?
    grazie a tutti coloro che leggeranno e risponderanno.

    A.

    martedì 10 luglio 2018 08:04

Tutte le risposte

  • Ciao Alex,

    purtroppo non puoi cambiare CN name , ma e impossibile che il certifficato nuovo sparisce.

    Scusa mi la domanda buffa, ma hai fato restart dell server. 

    In teoria - Puoi creare in nuovo certifficato in qualsiasi momento.

    mercoledì 11 luglio 2018 08:00
    Moderatore
  • Nikola ho già riavviato il server. Però purtroppo niente da fare.

    La cosa strana è che  il nuovo certificato che creo per sostituire quello sbagliato, non appena finisco la procedura come scritto sul link del post iniziale , mi si autocancella!!! volevo ricrearne un altro in sostituzione del primo, ma così mi è impossibile. A qualcuno è capitato?

    mercoledì 11 luglio 2018 10:37
  • Banalmente, fai una nuova request con i nomi corretti, resubmit alla CA, complete pending request e gli associ tutti i servizi. Poi riavvii iis.

    Fine.

    ciao.

    A.

    giovedì 12 luglio 2018 12:09
    Moderatore
  • Ciao Alessandro, faccio così:

    1) New Exchange certificate wizard

    2) salvo il file .req

    3)vado su https://localhost/certsrv/ e genero il certificato in base 64 del file .req

    4) ritorno nella maschera di Exchange certificate e completo il pending request con il certificato generato.

    Non appena completa ed io  premo invio, il certificato non lo vedo più nella finestra di Exchange certificates.

    Quelli che genero, anche se non li ved nella finestra di Exchange certificates, sono visibili sulla console CERTIFICATE -->Personali. Il problema è che non posso assegnargli i servizi  di exchange(IMAP, POP ; SMTP), e non so come fare......

    giovedì 12 luglio 2018 13:29
  • prima di tutto, dentro ai nomi che generi cosa e quali ci metti?

    Seconda cosa, se stai usando una CA interna funziona bene se è Enterprise ed usi la modalità di request "advanced" scegliendo il web server certificate a durata 2 anni.

    A quel punto una volta che l'hai creato e vai a completarlo però dentro la console EMC di exchange ci deve rimanere, se non rimane è perchè il certificato di solito ha dei problemi tipo la private key che manca o similari

    fai un get-exchangecertificate e vedi cosa ti vede dalla shell

    https://docs.microsoft.com/en-us/powershell/module/exchange/encryption-and-certificates/get-exchangecertificate?view=exchange-ps

    giovedì 12 luglio 2018 13:55
    Moderatore
  • la prima domanda non l'ho capita. Se è quello che penso però utilizzando il wizard, inserisco owa, activesync, Client access server, con il nome giusto ed hubtransport server.

    la CA è interna ma su un server 2008 R2 standard.

    Facendo

     Get-ExchangeCertificate -Server Mailbox01

    non mi compare nulla. Mi da di nuovo il prompt subito dopo.

    Pensavo fosse un problema di patch, ma a parte il rollup 22 ho tutto.

    Ho riprovato manon me lo tiene. COme posso fare a capire se la chiave privata manca? Se apro il certificato generato

    utilizzando IIS l'unico punto esclamativo che vedo è nella key usage (Digital Signature, Key Encipherment (a0))

    giovedì 12 luglio 2018 15:50
  • Scusa non ho capito, non hai nessun risultato quando fai il get del certificato?? Ma come è possibile? Hai riavviato la macchina? Ma prima i certificati li vedevi?
    giovedì 12 luglio 2018 18:30
    Moderatore