Remove From My Forums

Exchange 2013 - Renew Certificate

Domanda
0

Registrati per votare

Ciao a tutti,

a breve è in scadenza il certificato Exchange 2013 per i servizi IIS, POP, IMAP, SMTP, emesso da CA SUB interna.

Ora, dato che abbiamo aggiornato la CA Root (Offline) e CA Subordinate con algoritmo sha256 (da sha1), se procedo con il renew da Exchange generando il file .REQ ed emettendo un nuovo file .CER in sha256, potrei avere problemi nella fase di import?

La versione di Exchange è 2013 CU10 in DAG con altro nodo.

Grazie per il supporto

venerdì 5 maggio 2017 15:57

Risposta

|

Citazione

Risposte

0

Registrati per votare
Ciao, direi che non dovresti aver nessun problema in quanto interna alla struttura la CA viene trustata per default dai client di quel dominio e così le CA secondarie.

L'unica cosa che potrebbe accadere è che se la tua CA non è pubblicata (leggo offiline) per gli outlook anywhere dovresti installare a manina sia la catena di certificati che il certificato stesso nelle fonti radice attendibili, ma quello era un problema che avevi anche prima.

comunque senza aspettare per forza che scada puoi anche fare una prova qualche gg prima volendo così se c'è qualcosa che non va hai tempo di sistemarlo se invece va a buon fine ti mangi qualche gg sul prossimo rinnovo ma non è un problema.

Ciao.

A.
- Modificato Alessandro-VanniniMVP, Moderator venerdì 5 maggio 2017 16:06
- Proposto come risposta Roberto FerazziMVP, Moderator sabato 6 maggio 2017 13:25
- Contrassegnato come risposta SysAdmin_IT martedì 9 maggio 2017 10:53
venerdì 5 maggio 2017 16:06

Risposta

|

Citazione

Moderatore
0

Registrati per votare
alt. Leggi bene! Ti ho scritto sugli outlook anywhere...quindi sui client che escono dalla struttura, sui nodi server non devi installare niente, devono "fidarsi" da soli della loro CA se è della loro AD, come del resto devono fare i client interni alla struttura.

ciao!

A.
- Contrassegnato come risposta SysAdmin_IT martedì 9 maggio 2017 10:53
venerdì 5 maggio 2017 16:27

Risposta

|

Citazione

Moderatore

Tutte le risposte

0

Registrati per votare
Ciao, direi che non dovresti aver nessun problema in quanto interna alla struttura la CA viene trustata per default dai client di quel dominio e così le CA secondarie.

L'unica cosa che potrebbe accadere è che se la tua CA non è pubblicata (leggo offiline) per gli outlook anywhere dovresti installare a manina sia la catena di certificati che il certificato stesso nelle fonti radice attendibili, ma quello era un problema che avevi anche prima.

comunque senza aspettare per forza che scada puoi anche fare una prova qualche gg prima volendo così se c'è qualcosa che non va hai tempo di sistemarlo se invece va a buon fine ti mangi qualche gg sul prossimo rinnovo ma non è un problema.

Ciao.

A.
- Modificato Alessandro-VanniniMVP, Moderator venerdì 5 maggio 2017 16:06
- Proposto come risposta Roberto FerazziMVP, Moderator sabato 6 maggio 2017 13:25
- Contrassegnato come risposta SysAdmin_IT martedì 9 maggio 2017 10:53
venerdì 5 maggio 2017 16:06

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Ciao Alessandro,

grazie per la risposta.

Quindi installo a mano tutta la nuova catena in sha256, nella root dei nodi DAG e poi procedo con renew.

Ok, ci aggiorniamo, procedo con un test.

Grazie ancora.

:)

venerdì 5 maggio 2017 16:09

Risposta

|

Citazione
0

Registrati per votare
alt. Leggi bene! Ti ho scritto sugli outlook anywhere...quindi sui client che escono dalla struttura, sui nodi server non devi installare niente, devono "fidarsi" da soli della loro CA se è della loro AD, come del resto devono fare i client interni alla struttura.

ciao!

A.
- Contrassegnato come risposta SysAdmin_IT martedì 9 maggio 2017 10:53
venerdì 5 maggio 2017 16:27

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Ciao Alessandro,

scusami, vero.

Ricontrollo e provo ad aggiornare in sha2.

Ti faccio sapere non appena possibile.

domenica 7 maggio 2017 09:22

Risposta

|

Citazione
0

Registrati per votare

Ciao Alessandro,

quindi, una volta fatto "Renew CA" sul Root CA (Offline) per cambio algoritmo a sha256, aggiorno anche la default domain policy con il nuovo Certificato CA, in "Public Key Policies" >> "Trusted Root Certification Authorities" in modo da aggiornare i local store dei Server.

Giusto?

Un saluto e grazie per il supporto.

lunedì 8 maggio 2017 10:08

Risposta

|

Citazione
0

Registrati per votare

Ciao Alessandro,

tutto ok, certificati aggiornati in sha256.

Grazie ancora

:)

martedì 9 maggio 2017 10:52

Risposta

|

Citazione

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

Exchange 2013 - Renew Certificate

Domanda

Risposte

Tutte le risposte