Exchange 2010 - TLS

[NorbertFe 1.799]

Das weiß ich nicht. Normalerweise verläßt der private key nicht den Computer von dem aus der CSR erstellt wurde. ;) Deswegen würde ich dir pfx empfehlen, da gibt's nur mit Private Key afaik.

[Moped 11]

denke das ist jetzt zu spät

wenn ich auf der angegebenen Webseite das Format in *.pfx ändern will, muss ich ein Privat-Key File angeben, das habe ich aber nicht :(

 

Habe ja jetzt aber das p7b File

 

Werde das am Montag mal importieren und den Dienste SMTP; POP; IIS und IMAP zuweisen

Warum erst am Montag? Weil ich nicht weiss was sonst am Freitag oder am WE passiert :confused: :schreck:

[NorbertFe 1.799]

Grmpf, du machst es aber auch echt umständlich. Ausserdem schrieb ich, du sollst openssl verwenden. Ich lade doch nicht meinen private Key auf irgendeine Webseite hoch. :rolleyes: Insofern sei froh, dass du nicht weißt was du tust :p

 

Bye

Norbert

[testperson 1.528]

Sofern du den CSR auf dem Exchange generiert hast, wäre es vermutlich am einfachsten das *.pem einfach zu importieren:

 

Import-ExchangeCertificate -FileData ([byte[]]$(Get-Content -Path c:\cert.pem -Encoding byte -ReadCount 0))

[Moped 11]

 Insofern sei froh, dass du nicht weißt was du tust :p

 

Danke :thumb1:

ist leider so

Aber es ist schwer deine Art der Hilfestellung zu verstehen, das sind immer nur so "Hilfebrocken"

Egal, werde mich halt weiter einlesen,

[NorbertFe 1.799]

So schwer finde ich meine Hilfestellung eigentlich gar nicht. Ich kann aber nix dafür, dass dir die Grundlagen fehlen.

[Moped 11]

So schwer finde ich meine Hilfestellung eigentlich gar nicht. Ich kann aber nix dafür, dass dir die Grundlagen fehlen.

 

Das Stimmt, mir fehlen die Grundlagen, aber dann helfen solche "Brocken" erst recht nichts

Wenn es nur Experten wie dich geben würde, bräuchten wir keine Foren und und auch keine Consulter :)

 

 

 

Sofern du den CSR auf dem Exchange generiert hast, wäre es vermutlich am einfachsten das *.pem einfach zu importieren:

 

Import-ExchangeCertificate -FileData ([byte[]]$(Get-Content -Path c:\cert.pem -Encoding byte -ReadCount 0))

 

ok, wieder was neues :schreck:

Daran erkanne man wie Komplex das alles ist

Der Befehl ist mir jetzt noch gar nicht unter gekommen

[NorbertFe 1.799]

ok, wieder was neues :schreck:

Daran erkanne man wie Komplex das alles ist

Der Befehl ist mir jetzt noch gar nicht unter gekommen

Braucht man ja auch nicht unbedingt per Powershell machen, sondern kann das sogar in der GUI importieren. ;)

[Moped 11]

Braucht man ja auch nicht unbedingt per Powershell machen, sondern kann das sogar in der GUI importieren. ;)

 

Auch bei Exchange 2007? :schreck:

 

Edit: Aber das Importieren Selber sollte kein Problem sein

Viel mehr ist die Frage wie gehe ich mit den 2 *.pem Files um

Ich habe jetzt die *.pem Zertifikate umgewandelt in *.der

Dann habe ich das eigentliche Zertifikat geöffnet und gesagt "In datei Kopieren" > Als Endung .P7B ausgewählt mit dem Haken "Wenn möglich, alle Zertifikate im Pfad einbeziehen"

jetzt habe ich ein Cert was, wenn ich es öffne 3 Zertifikate enthält

(<Alle>; Clientauthentifizierung; Serverauthentifizierung)

Soweit sieht es ja ok aus

Wo ich nicht sicher bin, muss ich iregendwas berücksichtigen wegen dem "Privat-Key"?

Weil ich die Option -PrivateKeyExportable $True nicht gesetzt habe

bearbeitet 19. Februar 2015 von Moped

[NorbertFe 1.799]

Nein, aber da der BEtreff 2010 heißt, ging ich nicht davon aus, dass man dir 2007 erklärt. ;)

[Moped 11]

habe jetzt noch eine Verständnisfrage zu den Connectoren

 

Wir haben einen Sende-Connector der via MX/DNS ins Internet sendet

Und ich habe den Default-Receive-Connector

 

Ich möchte ja jetzt mit nur einem Kunden TLS machen

Macht es sinn, bzw. muss ich nun einen neuen Sende- und Empfangsconnector erstellen?

Oder wird durch die Befehle

Set-TransportConfig -TLSReceiveDomainSecureList example.com
Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true
Set-ReceiveConnector "Inbound Email" -DomainSecureEnabled $true -AuthMechanism TLS

eingestellt, dass über die vorhandenen Connectoren nur zu/von dieser einen Domain TLS Verschlüsselt wird?

Dabei aber alles anderen Mails normal versendet werden?

[Moped 11]

Muss mich nochmal an euch wenden

habe jetzt soweit alles eingerichtet

Ich kann auch Mails an die eine Domäne versenden, allerdings klappt der Empfang nicht

 

Der Sender erhält den Fehler:

Diagnoseinformationen für Administratoren:
Generierender Server: mail.Server-des-Senders.de
Max.Muster@Firma.de
mail.Firma.de #<mail.Frima.de #5.7.1 smtp; 530 5.7.1 Not authenticated> #SMTP#

Auf meinem Mailserver sehe ich den Fehler "EventID 11017"

Message:	A message from domain-secured domain '%1' on connector '%2' failed to authenticate because no Transport Layer Security (TLS) certificate was supplied. Contact the administrator for %1 to resolve the problem, or remove the domain from the domain-secured list.

Explanation

This Error event indicates that a domain that is specified in the TransportConfig object as a domain-secured domain has sent a message and did not supply a Transport Layer Security (TLS) certificate. To send and receive Domain Secured e-mail, both the sending server and the receiving server must supply a valid TLS certificate.
   
User Action

To resolve this error, you must perform one of the following tasks:

    Disable Domain Security for the domain.

    Contact the administrator of the domain and request that the administrator create a valid TLS certificate for the domain.

Angeblich kann die andere Firma mit anderen via TLS Kommunizieren, nur mit "mir" nicht

 

Hab ich da evtl. handlungsbedarf?

Muss ich evtl einen neuen Empfangsconnector anlegen?

bearbeitet 4. März 2015 von Moped