Zum Inhalt wechseln


Foto

Exchange 2016 - Migration zu neuer PKI


  • Bitte melde dich an um zu Antworten
3 Antworten in diesem Thema

#1 wernbert

wernbert

    Member

  • 335 Beiträge

 

Geschrieben 05. September 2017 - 13:39

Hallo zusammen!

Da unsere aktuelle PKI nicht mehr dem Stand der Technik entspricht bauen wir aktuell gerade parallel eine neue 2 Stufige PKI auf.

 

Die neue PKI bleibt selbstverständlich in der bestehenden AD.

 

Da mir das Thema bisher immer eine wenig suspekt war meine Frage an die Experten:

Welche Auswirkungen hat ein Wechsel der PKI auf Exchange?

 

Verstehe ich das richtig, dass die neue Enterprise PKI ja dann automatisch am Exchange aufgrund der AD-Integration trusted ist?

 

Danke vielmals für eure Tipps.

 

 



#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.632 Beiträge

 

Geschrieben 05. September 2017 - 17:48

Richtige Antwort ist - das kommt drauf an.

 

Was für ein Zertifikat ist auf dem Exchange jetzt drauf, ein internes oder ein externes?

 

Split-DNS?

 

Welchen Exchange mit welchem Stand hast du?

http://blog-schulenb...e-build-nummern

 

(ist zwar für die Frage nicht relevant, aber...)

 

;)

 

PS: NorbertFe ist im Urlaub...


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#3 wernbert

wernbert

    Member

  • 335 Beiträge

 

Geschrieben 06. September 2017 - 17:34

Hy Nobbyaushb!

 

Den Exchange Services ist ein Self-Signed zertifikat zugewiesen da im Vorfeld das SSL-Offloading am Loadbalancer erfolgt.

Ja, Split-DNS ist im Einsatz

 

Exchange 2016 CU5 ist im Einsatz.

Wir nach Erscheinen von CU7 gleich angehoben...



#4 NilsK

NilsK

    Expert Member

  • 12.343 Beiträge

 

Geschrieben 06. September 2017 - 18:45

Moin,

 

ein Wechsel der PKI hat grundsätzlich keine anderen Auswirkungen als jeder andere Zertifikatswechsel. Relevant ist eher, an welcher Stelle du die Zertifikate denn einsetzen willst. Grundsätzlich gilt als Faustregel:

  • Manche modernen Produkte setzen an bestimmten "absichtlich" Self-signed-Zertifikate ein. Das ist etwa bei ADFS so, bei Exchange meine ich auch, dass es solche Stellen gibt, dafür bin ich in dem Detail nicht tief genug drin. Wenn solche Konstrukte vorliegen, ist die Empfehlung i.d.R. dass man auch dabei bleibt. (Das lässt sich dann aus der Produktdokumentation ablesen.)
  • Für die Kommunikation mit "außen" sind i.d.R. weder Self-signed noch eigene Zertifikate geeignet, sondern nur solche einer "offiziellen" CA. Damit erspart man sich für bestimmte Kommunikationstypen das Rollout der Root- und Intermediate-Zertifikate.
  • Eine eigene PKI ist meist nur für interne Zwecke geeignet.

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!