none
Zertifikate

    Frage

  • Hallo,
    ich hatte heute morgen ein Problem mit den Zertifikaten.
    Wir nutzen Exchange 2010, aktuell gepatcht.

    Es wurde ein Archivierungssoftware installiert.
    Danach gab es ein CER von heute was an dem IIS gebunden war.

    Wir haben Active Sync über ein TMG veröffentlicht....der Mailsync danach funktionierte nicht mehr.
    Erst nachdem ich die Bindung des IIS CER geändert hatte ging es wieder.

    Meine Vermutung:
    Die SW hat ein CER installiert und dort autom. den IIS dran gebunden.
    Damit stimmte das CER auf dem TMG nicht mehr überein und somit konnte per ActiveSync keine Verbindung mehr hergestellt werden.
    Das werde ich beim Hersteller mal verifizieren....

    Andere Frage.
    Wofür sind die einzelnen Zertifikate? Würde nicht nur das einzelne Exchange CER reichen woran die Dienste gebunden sind?

    Danke und Gruß
    Dennis

    Freitag, 17. Mai 2019 10:42

Antworten

  • Hallo Dennis,

    man könnte auch das SelfSign Zertifikat nutzen, dann musst Du jedoch die Trustkette auf dem TMG herstellen. Das bedeutet, der öffentliche Schlüssel muss in den Zertifikatsstore auf dem TMG als Trusted CA importiert werden.

    Eine in das AD integrierte "interne" CA wird über die Gruppenrichtlinie automatisch als vertrauenswürdig eingestuft bei allen Domänenmitgliedern.

    Lass das Exchange Self Zertifikat einfach im System liegen. Für Exchange 2010 hat es glaube ich keine Bedeutung. Mit Exchange 2013 wird es für die BackEnd Webdienste genutzt.

    Warum Deine Archiv Software die Zertifikatsbindung ohne Nachfrage austauscht, musst Du tatsächlich den Herstellern erfragen.

    Viele Grüße Malte

    • Als Antwort markiert HaschkeD Mittwoch, 22. Mai 2019 09:52
    Mittwoch, 22. Mai 2019 09:09

Alle Antworten

  • Hallo Dennis,

    Exchange erstellt mit der Installation ein Selfsign-Zertifikat und bindet dieses an die Dienste POP,IMAP,SMTP und IIS. Damit wird sichergestellt, das die gesamte Exchange interne Kommunikation verschlüsselt erfolgen kann.

    Nun existiert Exchange gewöhnlich nicht allein auf einer Insel, sondern stellt seine Dienste auch für andere Systeme bereit (ActiveSync, OWA, SMTP-IN/OUT,...). Für diese Arten der Verbindungen hilft das Selfsign-Zertifikat nicht wirklich weiter, daher werden Zertifikate aus PKIs verwendet und an die jeweiligen Dienste gebunden. Das macht man gewöhnlich über die Exchange PowerShell oder das "ECP".

    Das Selfsign-Zertifikat verbleibt trotzdem auf den Servern und ist an die BackEnd Dienste weiter gebunden.

    Hilft Dir das weiter?

    Viele Grüße Malte

    Montag, 20. Mai 2019 11:51
  • Ahhh, ok. Danke :-)
    Wir haben ein gültiges CER aus unserer internen PKI auf dem Exchange. Auf dem TMG ein öffentliches Wildcard.
    Durch die Bindungsänderung des IIS Dienstes (wurde dann an ein SelfSigned gebunden)klappte keine Verbindung mehr übers TMG mit ActiveSync. Ist das generell so das dafür CERs einer internen PKI genutzt werden müssen und das mit den SelfSigned nicht geht?
    Bei den SelfSigned CERs auf dem Exchange sind keine Dienste gebunden. Wären diese dann hinfällig?
    Dienstag, 21. Mai 2019 10:04
  • Hallo Dennis,

    man könnte auch das SelfSign Zertifikat nutzen, dann musst Du jedoch die Trustkette auf dem TMG herstellen. Das bedeutet, der öffentliche Schlüssel muss in den Zertifikatsstore auf dem TMG als Trusted CA importiert werden.

    Eine in das AD integrierte "interne" CA wird über die Gruppenrichtlinie automatisch als vertrauenswürdig eingestuft bei allen Domänenmitgliedern.

    Lass das Exchange Self Zertifikat einfach im System liegen. Für Exchange 2010 hat es glaube ich keine Bedeutung. Mit Exchange 2013 wird es für die BackEnd Webdienste genutzt.

    Warum Deine Archiv Software die Zertifikatsbindung ohne Nachfrage austauscht, musst Du tatsächlich den Herstellern erfragen.

    Viele Grüße Malte

    • Als Antwort markiert HaschkeD Mittwoch, 22. Mai 2019 09:52
    Mittwoch, 22. Mai 2019 09:09