Moped
-
Gesamte Inhalte
272 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Moped
-
-
habe jetzt noch eine Verständnisfrage zu den Connectoren
Wir haben einen Sende-Connector der via MX/DNS ins Internet sendet
Und ich habe den Default-Receive-Connector
Ich möchte ja jetzt mit nur einem Kunden TLS machen
Macht es sinn, bzw. muss ich nun einen neuen Sende- und Empfangsconnector erstellen?
Oder wird durch die Befehle
Set-TransportConfig -TLSReceiveDomainSecureList example.com Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true Set-ReceiveConnector "Inbound Email" -DomainSecureEnabled $true -AuthMechanism TLS
eingestellt, dass über die vorhandenen Connectoren nur zu/von dieser einen Domain TLS Verschlüsselt wird?
Dabei aber alles anderen Mails normal versendet werden?
-
Braucht man ja auch nicht unbedingt per Powershell machen, sondern kann das sogar in der GUI importieren. ;)
Auch bei Exchange 2007? :schreck:
Edit: Aber das Importieren Selber sollte kein Problem sein
Viel mehr ist die Frage wie gehe ich mit den 2 *.pem Files um
Ich habe jetzt die *.pem Zertifikate umgewandelt in *.der
Dann habe ich das eigentliche Zertifikat geöffnet und gesagt "In datei Kopieren" > Als Endung .P7B ausgewählt mit dem Haken "Wenn möglich, alle Zertifikate im Pfad einbeziehen"
jetzt habe ich ein Cert was, wenn ich es öffne 3 Zertifikate enthält
(<Alle>; Clientauthentifizierung; Serverauthentifizierung)
Soweit sieht es ja ok aus
Wo ich nicht sicher bin, muss ich iregendwas berücksichtigen wegen dem "Privat-Key"?
Weil ich die Option -PrivateKeyExportable $True nicht gesetzt habe
-
So schwer finde ich meine Hilfestellung eigentlich gar nicht. Ich kann aber nix dafür, dass dir die Grundlagen fehlen.
Das Stimmt, mir fehlen die Grundlagen, aber dann helfen solche "Brocken" erst recht nichts
Wenn es nur Experten wie dich geben würde, bräuchten wir keine Foren und und auch keine Consulter :)
Sofern du den CSR auf dem Exchange generiert hast, wäre es vermutlich am einfachsten das *.pem einfach zu importieren:
Import-ExchangeCertificate -FileData ([byte[]]$(Get-Content -Path c:\cert.pem -Encoding byte -ReadCount 0))
ok, wieder was neues :schreck:
Daran erkanne man wie Komplex das alles ist
Der Befehl ist mir jetzt noch gar nicht unter gekommen
-
Insofern sei froh, dass du nicht weißt was du tust :p
Danke :thumb1:
ist leider so
Aber es ist schwer deine Art der Hilfestellung zu verstehen, das sind immer nur so "Hilfebrocken"
Egal, werde mich halt weiter einlesen,
-
denke das ist jetzt zu spät
wenn ich auf der angegebenen Webseite das Format in *.pfx ändern will, muss ich ein Privat-Key File angeben, das habe ich aber nicht :(
Habe ja jetzt aber das p7b File
Werde das am Montag mal importieren und den Dienste SMTP; POP; IIS und IMAP zuweisen
Warum erst am Montag? Weil ich nicht weiss was sonst am Freitag oder am WE passiert :confused: :schreck:
-
hi Norbert
PS: Der Teil vom Thema Zertifikate ist wirklich der einfache. ;)
Das sagst du, ich versuche micht gerade da reinzuarbeiten :confused: :nene:
Also, ich habe auf der Seite
https://www.sslshopper.com/ssl-converter.html
die beiden *.pem Zertifikate in ein *.p7b Zertifikat umgewandelt
Oder siehst du ein Vorteil darin die Zertifikate Einzeln zu importieren? Ich dachte es ist einfacher so, alles in einem "Rutsch" :rolleyes:
In dem erstellten p7b Zertifikat sollte doch der private Schlüssel mit drinne sein, oder? :confused:
Edit: hätte ich bei dem request noch die Parameter -KeySize 1024
-PrivateKeyExportable: $true angeben müssen? -
so, wieder einen Schritt weiter (aber das Thema Zertifikate ist schwierig)
Deshalb wieder eine Frage
Ich habe jetzt 2 Zertifikate bekommen, beide haben die Endung .pem
das eine ist das eigentliche SAN Zertifikat, das andere ist das Zertifikat der Zertifizierungskette (hat ein "Chain" im Namen)
Jetzt habe ich mich eingelesen und (denke) rausgefunden, dass ich die Zertifikate "Zusammenführen" muss und in *.p7b konvertieren.
Das habe ich auch schon mal gemacht
Ist es jetzt rchtig, dass ich nun mit
Import-ExchangeCertificate -Path c:\mein_Cert.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
das Zertifikat importiere und an die entsprechenden Dienste binde?
Oder ist es falsch die *.pem Zertifikate nach p7b zu konvertieren?
-
Ok, danke nochmal
Um es jetzt mal auf den Punkt zu bringen
Wenn ich den EHLO Namen am Empfangsconnector ändern möchte kommt folgender Fehler
Set-receiveconnector Fehler Fehler: Wenn der Parameter 'AuthMechanism' eines Empfangsconnectors auf den Wert 'ExchangeServer' festgelegt ist, muss der FQDN-Parameter auf dem Empfangsconnector auf einen der folgenden Werte festgelegt werden: der FQDN des Transportservers 'Servername.netz.Firma.de', der NetBIOS-Name des Transportservers 'Servername' oder '$null'.
Also lasse ich den Namen erst mal so
Ich beauftrage jetzt ein Zertifikat mit den Namen "Servername.netz.Firma.de" und Mail.Firma.net
Das sind die beiden namen in den beiden Connectoren
Dann binde ich das Zertifikat an den SMTP Dienst
Das vorhandene Zertifikat bleibt doch dann an die anderen Dienste IIS, POP, IMAP gebunden, oder?
Wäre das so alles richtig?
-
Also im Sendeconnector steht "mail.Firma.net"
Im Empfangsconnector steht "Servername.netz.Firma.de"
Der MX Eintrag zeigt auf "mail.Firma.net"
Muss ich denn für den Internen Zugriff von Outlook keinen anderen Eintrag im zertifikat haben?
Sorry wenn ich so oft nachfrage, aber ich finde im Web keine vernünftige/verständliche erklärung zu dem Thema, immer nur so allgemeine Erklärungen :nene:
-
Hallo und guten Morgen,
ich bin jetzt soweit um das Zertifikat zu beuftragen
Dazu noch eine Frage
Unsere AD Domäne heisst "Netz.Firma.de"; die Mailadresse lautet aber "@Firma.net" (das ist alles aus der Historie und von vor meiner Zeit)
In dem derzeitigen (selbst signierten Zertifikat) stehen folgende Domänennamen eingetragen
netz.Firma.de, Mailserver.netz.Firma.de, mail.Firma.net, mail.netz.Firma.net, mail.Firma.de, mail.netz.Firma.de, Firma.net, netz.Firma.net, autodiscover.netz.Firma.de
Müssen die alle so eingetragen sein?
Was ist davon ist richtig und was überflüssig? -
Hi Norbert,
danke wieder was gelernt :thumb1:
habs mir angeschaut, in der Tat steht es da drinne :cool:Hilft mir schon mal weiter :jau:
Ja, ich habe ein Zertifikat, aber halt selbst Signiert, du meintest aber dass es besser sei ein öffentliches zu nehmen
Das wollte ich einrichten/kaufen
Muss dann nur noch die "Certificate Domains" mit Angeben denke ich
-
ja, es ist richtig, dass das Grundlagen sind :thumb1:
nur wenn man die nicht hat, sich aber damit beschäftigen möchte/muss, es aber nicht versteht, dafür dachte ich wären solchen Foren hilfreich
Da du aber meine fragen nicht beantworten magst (z.B. was ist der Subjectname?) hilft mir das nicht weiter. :nene:
Und einfach so versuchen, ohne es zu verstehen ist bei "Operationen am offenen Herzen" nicht immer günstig
Evtl drücke ich mich ja auch schlecht aus oder du verstehst mich nicht
Aber trotzdem danke, evtl kann mir ja jemand anderes behilflich sein
-
boahhh, das Thema zertifikate ist echt ein Buch mit sieben siegeln
Muss nochmal nachfragen da ich aus den ganzen Technet.Artikeln überhaupt nicht schlau werde :mad: :eek:
Norbert sagt ja dass es sich anbietet ein Cert zu kaufen welches die gleichen Angaben hat wie mein selbst signiertes
jetzt komme ich mit den angaben die in dem Technet Artikel aufgeführt sind nicht klar
$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1
Was genau ist denn der SubjectName?
Was muss als DomainName rein? der MX Eintrag?
oder macht es mehr sinn das vorhandene Zertifikat einfach zu erneuern?
$Data = Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate -GenerateRequest -SubjectName "C=us, O=contoso corp, CN=mail1.contoso.com" Set-Content -Path "c:\ certificates\mail1.contoso.com.req" -Value $Data
Hie dann auch wieder die Frage, was ist der SubjectName? was muss da rein?
Sorry wenn ich sooft nachfrage, aber ich finde da nicht wirklich (für mich) verständliche Aussagen :unsure:
-
Das bedeutet jetzt, ich kaufe mir ein SAN Zertifikat mit all den CertificateDomains die ich jetzt auch im Zertifikat eingetragen habe und binde dieses dann auch neu an alle meine Dienste, richtig?
-
push....
Hat evtl. jemand eine Idee/Erklärung wie ich das neue Zertifikat anlegen muss und was mit dem alten passieren muss?Bin im Web nicht wirklich fündig geworden :nene:
Danke
-
Ok ich versuche es nochmal zu erklären
Ich habe eine Domäne von der aus wir die Mails an einen Smarthost senden > das Thema ist durch und geklärt :thumb1:
Von der zweiten Domäne senden wir direkt ins Internet
Auf diesem Mailserver habe ich ein ein Selbst Signiertes Zertifikat (siehe Oben)
So, jetzt sollte ich ja zwecks TLS Verschlüsselung ein öffentliches Zertifikat verwendenAlso muss ich ja eins Beantragen
Jetzt ging es mir darum, welche "CertificateDomains" ich dort eintargen muss und ob ich ein weiteres Zertifikat an den SMTP Dienst binden kann
So wie ich dich jetzt verstanden habe....
Kaufe ich mir ein Zertifikat mit den Gleichen Angaben wie in dem was ich schon haben (siehe oben)
Dann binde ich das neue Zertifikat an die gleichen dienste wie oben (IMAP, POP, IIS, SMTP)
oder?
War das so verständlich? :confused:
-
Ich muss nochmal nachfragen weil es sich mir wirklich nicht ganz erschliesst
Ich habe ja ein Zertifikat welchen aber Selfsigned ist, und welches auch schon an SMTP gebunden ist
Wenn ich mir jetzt ein Öffentliches Cert kaufe, kann ich das dann zusätzlich an SMTP binden?
Soll/Muss man bei dem TLS-Cert auch alle (wie ich es bei dem derzeitigen Cert habe) "CertificateDomains Namen" incl. FQDN eintragen?
Danke vorab
-
ah, ok, verstehe
ich muss immer Doppelt denken :DWir haben zwei domänen
Eine Domäne kommuniziert mit dem Smarthost > das ist geklärt, das wird von denen eingerichtet :thumb1:
Eine weiter Domäne sendet direkt ins Internet, da muss ich tätig werden
Es geht also jetzt um diese Domäne
Sorry für die Verwirrung
-
Hallo,
habe jetzt versucht mich in das Thema TLS-Zertifikate einzulesen, richtig verständlich ist es mir nicht geworden, bzw. bin etwas unsicher.
Mir ist nicht 100% klar welche Angaben in das Zertifikat reinmüssen.
Anderes Seits habe ich ja schon ein Zertifikat (allerdings selbst Signiert) mit folgenden Angaben:
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessCon trol.CryptoKeyAccessRule} CertificateDomains : {Domain.Firma.de, Mailserver, Mailserver.Domain.Firma.de, mail.Firma.net, mail.Domain.Firma.net, mail.Firma.de, mail.Domain.Firma. de, Firma.net, Domain.Firma.net, autodiscover.Domain.Firma.de} HasPrivateKey : True IsSelfSigned : False Issuer : CN=Firma Zertifizierungsstelle, DC=Domain, DC=Firma, DC=de NotAfter : 21.08.2016 11:12:26 NotBefore : 22.08.2014 11:12:26 PublicKeySize : 2048 RootCAType : Enterprise SerialNumber : 4A6D526554551544404B Services : IMAP, POP, IIS, SMTP Status : Valid Subject : CN=Domain.Firma.de, OU=Abt, O=Firma GmbH, L=Ort, C=DE Thumbprint : 99C3BF37B6819CACB9F73554455514551145558877271FA9030EEB93F6
Müssen die gleichen Angaben auch in das "öffentliche Zertifikat" rein?
Danke vorab
-
Ja klar, ih schicke alles an den Smarthost
War mir halt nicht sicher :nene:
Habe noch eine Frage zum Zertifikat
- Da ich ja nur an den Smarhost der Mutter sende, und das nicht irgendwei übers Internet sondern "Intern", kann es da auch zu Problemen kommen wenn ich ein Internes Zertifikat verwende?
- ich habe den Mailservern (Diensten) ja schon ein SAN Zertifikat zugewiesen (das übrigens auch Selbst Signiert), kann ich denn jetzt das neue Zertifikat für TLS parallel zuweisen oder müsste ich das SAN Zertifikat "Erweitern"? :confused:
-
Hi Norbert, das klingt logisch :jau:
Das kläre ich mit den Betreibern des Smarthostes mal ab
jetzt muss ich aber nochmal "dumm" fragen
Muss ich dann diese Befehle "Set-TransportConfig -TLSReceiveDomainSecureList example.com" + "Set-TransportConfig -TLSSendDomainSecureList example.com" auch ausführen, weil ich ja keine explizite Domäne angebe sondern alles per TLS rausschicke? :confused:
Oder habe ich einen Gedankenfehler? :rolleyes:
-
Hallo Zusammen,
wir bekommen jetzt einen Kunden der mit uns aber nur per TLS kommunizieren will.
Jetzt bin ich da etwas unsicher
Folgende Bedingungen
2x MBX, 2x Hub/CAS 2x Cisco loadbalancer, Versand/Empfang über Smarthost unserer Mutter.
Habe mir jetzt mal DIESE (http://exchange.sembee.info/2010/hub/mutualtls.asp) Anleitung durchgelesen (soweit, soklar)
Meine Gedanke dazu:
-Ich organisiere mir ein offizielles Zertifikat (was wäre der Nachteil wenn ich ein Selbst-Signiertes nehme?)
- Ich erstelle einen neuen Sendeconnector
- Auf diesem Connector fürhre ich den Befehl "Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true" aus
- Denn noch die anderen Befehle gem der o.g. Anleitung
Was mir jetzt nicht ganz klar ist:
Wie verhält sich das mit dem Versandt über den Smarthost?
Ich kann ja jetzt aufgrund des vorgeschalteten LB keinen weiteren Receiveconnector speziell für die Domäne erstellen, muss ja aber sicherstellen, dass andere nicht TLS versendete Mails ankommen, wird dies über den befehl "Set-TransportConfig -TLSReceiveDomainSecureList example.com" sichergestellt?
Hoffe es ist verständlich rüber gekommen :-) -
Hallo Robert,
bei uns ist es definitiv so, dass wenn ich Vollzugriff einrichte auch das Automapping funktioniert.
Wenn ich aber Den Zugriff weider entferne bleibt das Postfach beim User weiterhin eingebunden.
Der user hat dann allerdings (was auch richtig ist) kein zugriff mehr
Aber das Postfach ist auch nach Tagen noch in Outlook zusätzlich drinne
-
Hallo Zusammen,
ich suche gerade eine Lösung zum Thema AutoMapping
Wir gewähren z.B. Azubis Vollzugriff auf ein Postfach in der Abteilung in der die gerade tätig sind.
also trage ich in der EMC (exchange 2010) die Berechtigung ein, soweit sogut, dann erfolgt auch das AutoMapping
Wenn ich jetzt dem Azubi den Vollzugriff wieder wegnehme bleibt trotzdem das gemappte Postfach in seinem Outlook
Kann ich das ganze (Berechtigung und Automapping entfernen) in einem Powershell befehl vereinen?
hab nur Befehle gefunden die nur eins von beiden machen
Add-MailboxPermission -Identity ‘Shared Mailbox’ -User ‘Raji S’ -AccessRight FullAccess -InheritanceType All -Automapping $false
Remove-MailboxPermission -Identity <Mailbox ID1> -User <Mailbox ID2> -AccessRights FullAccess
Exchange 2010 - TLS
in MS Exchange Forum
Geschrieben · bearbeitet von Moped
Muss mich nochmal an euch wenden
habe jetzt soweit alles eingerichtet
Ich kann auch Mails an die eine Domäne versenden, allerdings klappt der Empfang nicht
Der Sender erhält den Fehler:
Auf meinem Mailserver sehe ich den Fehler "EventID 11017"
Angeblich kann die andere Firma mit anderen via TLS Kommunizieren, nur mit "mir" nicht
Hab ich da evtl. handlungsbedarf?
Muss ich evtl einen neuen Empfangsconnector anlegen?