Zum Inhalt wechseln


Foto

Exchange 2007 Zertifikat abgelaufen - was tun?


  • Bitte melde dich an um zu Antworten
13 Antworten in diesem Thema

#1 blob

blob

    Senior Member

  • 399 Beiträge

 

Geschrieben 23. März 2009 - 17:02

Hallo zusammen!

Bekanntlich installiert der Ex2007 bei der Installation ein eigenes Zertifikat für die Verbindung mit SMTP, IIS (OWA & ActiveSync), POP3, IMAP etc.

Dieses Zertifikat ist ein Jahr gültig.

In meiner Testumgebung ist dieses Jahr nun vorbei und mein Exchange 2007 arbeitet nicht mehr. Dem Produktivsystem wird es in 2-3 Monaten genauso ergehen.

Im Netz habe ich ein HowTo gefunden, sowohl auf msexchange.org als auch auf msxfaq.de.

Nun mein Problem: In Sachen CA bin ich überhaupt nicht fit und steige bei dem Thema nicht richtig durch. :-(

Mein Ziel: Ich will mit der Verwaltungsshell ein neues Zertifikat generieren, ohne meinen Request für teuer Geld bei einer CA einzureichen. Eine eigene CA haben wir Intern nicht installiert. Wir nutzen OWA, Active Sync auch von extern (intern: firma.local, extern: firma.net). Was für Möglichkeiten habe ich? Gibt es auch kostenfreie CA's im Internet (schnell mal mit Google nichts gefunden ausser openca.org, die Seite geht aber nicht sobald ich auf "get Certicate" klicke) oder kann mein Exchange 2007 das selbst signieren, wie bei der Installation?

Man hat ja jetzt mit Exchange 2007 die Möglichkeit ein SAN Zertifikat zu erstellen. Hier könnte ich unseren externen Alias mit eintragen (mail.firma.net). Wird das Zertifikat dann vertrauenswürdig eingestuft (da man per OWA auf https:/mail.firma.net/owa verbindet und als name im SAN Zertifikat der Name mail.firma.net mit hinterlegt ist) ohne das die lästige Zertifkatswarnung erscheint oder ist dies nur der Fall wenn ich mir mein Zertifikat bei einer vertrauenswürdigen CA kaufe (bei einem selbst generierten Zertifikat steht als Aussteller ja dann zB sv01.firma.local drin, evtl. macht das einen Strich durch die Rechnung?!)?

Danke im voraus für die Aufklärung :-)

#2 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 24. März 2009 - 08:03

Hi,

das Zertifikat wird dann als vertrauenswürdig eingestuft, wenn das Zertifikat der ausstellenden CA (und ggf übergeordneter CAs bis zur Root-CA) als vertrauenswürdig eingestuft ist.

Heißt für Dich, wenn Du eine eigene CA nutzen willst, oder eine CA, deren Zertifikat nicht in der Microsoft Liste der Trusted Root CAs enthalten ist, dass Du deren Zertifikat auf alle Client-Rechner ausrollen musst, und dort in den Speicher für "Trusted Root CAs" integrieren musst. Das ließe sich in einer Domain über eine Group Policy erreichen.

Outlook Anywhere Access funktioniert auch nur mit einer vollständig vertrauenswürdigen Kette von Zertifikaten, da Outlook eine Zertifikatswarning nicht wie Du im Browser einfach ignorieren kann.

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#3 blob

blob

    Senior Member

  • 399 Beiträge

 

Geschrieben 24. März 2009 - 08:53

ok, danke für die Antwort!

Nur wie gehe ich jetzt am besten vor, um für meine Zertifikatsanforderung (die ich über die Verwaltungsshell von Ex07 erstellt habe) ein gültiges Zertifikat ausgestellt zu bekommen? Gibt es eine kostenlose CA im Internet?

#4 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 24. März 2009 - 08:56

ok, danke für die Antwort!

Nur wie gehe ich jetzt am besten vor, um für meine Zertifikatsanforderung (die ich über die Verwaltungsshell von Ex07 erstellt habe) ein gültiges Zertifikat ausgestellt zu bekommen? Gibt es eine kostenlose CA im Internet?


Wenn Du das Self-Signed Certificate erneuern willst, kannst Du vorgehen wie hier beschrieben:
Exchangepedia Blog: Exchange Server 2007: Renewing the self-signed certificate

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#5 blob

blob

    Senior Member

  • 399 Beiträge

 

Geschrieben 24. März 2009 - 10:26

ok, super, der Artikel war echt hilfreich.
Ich habe jetzt ein neues Zertifikat generiert, was wieder ein Jahr gültig ist. Ich konnte noch mit "-DomainName" bei dem cmdlet new-exchangecertifivate mehrere Namen mitgeben. Habe bis jetzt nur OWA probiert, aber es funktioniert (aber leider mit Zertifikatswarnung). Das Zertifikat habe ich dann zum Test erstmal automatisch im internen Zertifikatsspeicher vom Client installiert, dennoch kommt leider die Fehlermeldung.

Da das jetzt alles so funktioniert wie man es für eine kleine Firma möchte (da ist Zertifikatswarnung ja meistens schnuppe), wofür brauche ich dann überhaupt eine seperate interne CA?

#6 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 24. März 2009 - 10:38

Solange Du die Zertifikatswarnung hast, wirst Du Outlook Anywhere Access (früher RPC over HTTPS) nicht ans Laufen bekommen.

Separate CA:
In einer kleinen Firma ist das vielleicht nicht erforderlich, auch weil der Aufwand für die Pflege einer CA ggf. unverhältnismäßig hoch wäre.

Hast Du aber mehrere Server, die mit Zertifikaten versehen werden sollen, wäre es sehr umständlich jedes einzelne Zertifikat den Clients als vertrauenswürdig anzugeben. Dann installiert man eine CA, verteilt deren Zertifikat (nur mit dem public Key natürlich) an die Clients in den Speicher für die Trusted Root CAs und schon werden alle von dieser CA ausgestellten Zertifikate anerkannt. (Na gut, das ist jetzt eine verkürzte Darstellung ;) ).

Wenn es Dich interessiert, kannst Du Dich ja mal hier ins Thema einlesen:
Public Key Infrastructure for Windows Server 2003
und für Server 2008:
Active Directory Certificate Services Role

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#7 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 24. März 2009 - 11:41

Ergänzend zu dem was Christoph gesagt hat ist es für die meisten Firmen sinnvoller ihren Exchange mit einem extern vergebenen Zertifikat zu betreiben. Das macht den Zugriff auf OWA sicherer, da authentifiziert, und ermöglicht das Outlook Anywhere auch von Heimarbeitsplätzen (die nicht Domain-Member sind) ***ensicher funktioniert.

Kosten tut das nicht zwingend viel: Du kannst Autodiscovery über einen passenden SRV Record realisieren (erfordert Outlook 2007 SP1) und benötigt lediglich ein Single-Name Zertifikat ab 30$ pro Jahr. Oder du machst es "richtig" mit einem UCC Zertifikat, das kostet auch ab 200$ pro Jahr.

Hat den Vorteil das du dich um weniger kümmern musst, und auch wenn du sonstwo bist sichergestellt ist das du dich mit dem richtigen Server verbunden hast.

#8 blob

blob

    Senior Member

  • 399 Beiträge

 

Geschrieben 25. März 2009 - 13:45

hm ok, outlook anywhere steht auch auf meiner Liste, dann werde ich um ein gekauftes Zerti nicht herum kommen ;-)
30€ sind ja wirklich nicht die Welt. Könnt Ihr mir da eine externe Zertstelle empfehlen?

Mein Ex07 Server (mit allen Rollen ausser Edge) heisst "svv01.firma123.local".
Unsere externe Domäne hostet ein Provider, d.h. wenn jmd OWA von Extern nutzt dann gibt er "https://mail.firma123.net/exchange" ein.
Welcher Name muss jetzt im Zertifikat stehen, damit keine Warn-Meldungen mehr kommen? "svv01.firma123.local" oder "mail.firma123.net"?
autodiscover.firma.net trage ich dann beim Provider zum forwoarden ein, also dass eine Anforderung durch mein Gateway/Firewall zu meinem Exchange weitergereicht wird.

Danke für den Lesestoff! Muss ich unbedingt in nächster Zeit angehen, vor allem mit Win 2008.

#9 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 25. März 2009 - 13:57

hm ok, outlook anywhere steht auch auf meiner Liste, dann werde ich um ein gekauftes Zerti nicht herum kommen ;-)
30€ sind ja wirklich nicht die Welt. Könnt Ihr mir da eine externe Zertstelle empfehlen?


30$ ist die Billigvariante. Ein UCC-Zertifikat ist wesentlich besser.

Guckstu: You Had Me At EHLO... : More on Exchange 2007 and certificates - with real world scenario

http://msexchangetea.../19/435472.aspx

#10 yakko

yakko

    Newbie

  • 3 Beiträge

 

Geschrieben 25. März 2009 - 14:12

Hallo!

Mit einem "normalem" Zertifikat wirst du bei Outlook Anywhere auch ein Problem haben, da du ein Zertifikat für autodiscover.firma.net und eines für den mailserver mail.firma.net brauchst.
Also wäre das mit zwei "normalen" Zertifikaten zu lösen, allerdings über eine kleine Trickserei.

Oder du nimmst dir ein Wildcard-Zertifikat auf *.firma.net, das deckt dann alles in der ebene ab (zb mail.firma.net, autodiscover.firma.net, www.firma.net, ... nicht aber test.mail.firma.net, also *.*.firma.net).

Das wäre dann eine mögliche Lösung, je nach dem, wie euer Netz aufgebaut ist und die Anbindung nach Außen realisiert ist.

Günstige Zertifikate bekommst du zB hier: PSW GROUP - SSL-Zertifikate ab 15 € pro Jahr mit bis zu 90 Tagen zusätzlicher Laufzeit | Qualifizierte Signatur | Linux & BSD | PDFlib | Applikationen | Hosting & Housing.

LG,
Christian

#11 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 25. März 2009 - 14:20

Mit einem "normalem" Zertifikat wirst du bei Outlook Anywhere auch ein Problem haben, da du ein Zertifikat für autodiscover.firma.net und eines für den mailserver mail.firma.net brauchst.


Nicht zwingend:
White Paper: Exchange 2007 Autodiscover Service

Die einzige saubere Variante ist jedoch ein SAN bzw. UCC Zertifikat. Kein Gebastel, keine speziellen Anforderungen.

#12 blob

blob

    Senior Member

  • 399 Beiträge

 

Geschrieben 25. März 2009 - 15:25

so, habe nun versucht mich einzulesen in das Thema.

Wenn ich jetzt richtig verstanden habe, kann ich es auch so machen:

1. Ich installiere mir eine interne CA in z.B. meiner Testdomäne.
2. Ich generiere mit meinem Ex07 ein ZertRequest für ein UCC Zertifikat (mit autodiscover.firma123.net, autodiscover.firma123.local, mail.firma123.net usw.) und reiche das bei meiner internen CA ein und erhalte dann ein Zertifikat.
3. Dieses Zertifikat installiere und enable ich über die Verwaltungsshell in meinen Exchange 2007
4. Anschließend verteile ich das Zertifikat an meine Clients, damit es in den Speicher für vertrauenswürdige Stammzertifizierungsstellen landet.
5. Beim verbinden mit OWA intern und extern dürfte keine Zert-Warnung mehr erscheinen, sofern der eingegebene Name (https://mail.firma123.net/exchange) mit einem Namen im Zertifikat deckt (mail.firma123.net usw.).

Habe ich das richtig verstanden, also die Theorie? :-)

Ich könnte ja mit dem Ex07 ein selbstsigniertes Zertifikat generieren und enablen, und im Internet Explorer nach der Warnmeldung das Zertifikat in den Speicher für die vertrauenswürdigen Zertifizierungsstellen kopieren. Wenn ich den Inet Explorer erneut öffne und OWA aufrufe, dann dürfte auch keine Meldung mehr erscheinen (?)

#13 blob

blob

    Senior Member

  • 399 Beiträge

 

Geschrieben 26. März 2009 - 10:40

So, die zweite Variante (nach der Warnmeldung das Zertifikat installieren) hat funktioniert bei OWA. D.h. User müssten dies von extern als erstes tun, dann Outlook anywhere einrichten sobald dem Zertifikat vertraut wird.

Hat jemand schonmal diese Variante ausprobiert, also ein selbstsigniertes Zertifikat für Ex07 ausgestellt und den Clients das Zertifikat dann unter vertrauenswürdige Stammzertifizerungsstellen installiert, anschließend Outlook Anywhere eingerichtet?!

#14 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 26. März 2009 - 14:31

4. Anschließend verteile ich das Zertifikat an meine Clients, damit es in den Speicher für vertrauenswürdige Stammzertifizierungsstellen landet.


Um das noch mal klarzustellen:
Nicht das Zertifikat, dass Du für den Exchange Server erstellt hast, muss in den Speicher für Trusted Root CAs, sondern das Zertifikat der CA!

Schau auch mal hier, wo das mit der CA für einen anderen Zweck erläutert wird (insbesondere Teil 2, Abschnitt d):
http://www.serverhow...katen.49.0.html

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!