lutz-sprangenberg

Gerade eben schrieb NorbertFe:

OK, und die 20Mbit/s sind keine Einschränkung für euch, oder gabs doch Budget für nen VLM500? :)

Wir starten jetzt erstmal so, man ist aber nicht mehr ganz abgeneigt für Budget 

vor 5 Minuten schrieb NorbertFe:

Wenns um Exchange geht nicht, da es um Docker geht, vermutlich schon. Kann ja niemand wissen, dass es auf einmal um was anderes geht. :) Also alles gut.

Habe den nginx Reverse Proxy jetzt komplett abgelöst und der hatte nicht nur Exchange Webseiten. Keine Lust an zwei Stellen zu pflegen. Will ja nicht nur basteln ;-)

vor 21 Stunden schrieb Dukel:

Sollte es nicht http -> https sein? Das wird bei den richtigen Templates automatisch angelegt.

Moin, 

ich nutze den Mediawiki Docker-Container und der hat so kein SSL dabei. Hab ihn deshalb hinter den Reverseproxy gestellt. Komme also mit https rein und der Reverse Proxy baut die Verbindung im Hintergrund über HTTP auf.

VIP1 (https) encrypted & reencrypt -> zeigt auf VIP2 (https) encrypted aber kein reencrypt -> http Webseite

vor 21 Stunden schrieb NorbertFe:

Genau so ist das. Aber basteln macht halt mehr Spaß ;)

Was soll daran jetzt wieder bastelei sein?

VG

Lutz

Am 10.2.2022 um 11:04 schrieb NorbertFe:

Nein ich hab hier nen Kemp im Einsatz und da läuft das ;) Vielleicht wär das ja ne Alternative für dich.

Moin, 

kurzes Feedback. Funktioniert 1A. Konnte jetzt alle Seiten vom nginx auf den Kemp umstellen und erschreckenderweise funktioniert alles super :-D

Hab nur etwas Probleme gehabt, HTTPS auf HTTP, habs aber mit einer zweiten VIP jetzt endlich am laufen.

Viele Grüße und schönes WE!

Lutz

vor 2 Stunden schrieb Dukel:

 

Der Private Key heisst nicht umsonst "Privat". Diesen gibst du bitte niemals heraus!

Das ganze ist derzeit "bastelei/spielerei" mit einem Test LE-Zertifikat. Da hätte ich Null-Bauchschmerzen das hier komplett zu posten, wenn es das Mysterium aufklärt

Hmm ok...

Dann "bastel" ich mal alleine weiter, aber nochmal danke für den Kemp Link, die Installation starte ich gleich mal

vor 1 Minute schrieb cj_berlin:

Ohne konkret das Zertifikat zu sehen? Nein.

Du müsstest das ganze Zertifikat mit Private Key sehen oder interessiert dich etwas ganz bestimmtes?

vor 1 Minute schrieb cj_berlin:

https://freeloadbalancer.com/ 

Oh cool, vielen Dank. Installiere ich mal und schaue mir das an. Aber eine Idee, warum er das so nicht macht, habt ihr auch nicht, oder?

vor 4 Minuten schrieb NorbertFe:

Nein ich hab hier nen Kemp im Einsatz und da läuft das ;) Vielleicht wär das ja ne Alternative für dich.

Arbeite in einer kleinen Kommune. Hier wird alles was Geld kostet erstmal skeptisch betrachtet. Das meiste versuche ich mit OpenSource zu regeln.

Gerade eben schrieb NorbertFe:

Und wozu dann die internen ZUgriffe nicht auch über den Reverse Proxy? Die müssen/sollen ja nicht direkt auf den Exchange. :)

Das lief nicht gut und hat immer Fehler geworfen.

Verwende ein Docker-Image (https://hub.docker.com/r/jc21/nginx-proxy-manager). Wenn du das damit schon einmal zum Laufen bekommen hast, bin ich für alles offen :-D

vor 5 Minuten schrieb mikro:

Exportier das Zertifikat doch unter certlm.msc mit privatem Schlüssel etc nochmal und binde es dann wieder ein, direkt in der Exchange "Gui"

Hab ich auch schon versucht, klappt leider auch nicht :-(

vor 7 Minuten schrieb NorbertFe:

Warum eigentlich so umständlich per openssl? Es gibt für Exchange doch auch entsprechende Skripte die das für dich übernehmen würden. 

Hab einen nginx-reverse-proxy davor und das Zertifikat da sowieso erstellt für die URLs. Hab mir jetzt zum Testen erstmal nur die Dateien geholt und wollte prüfen, ob das so klappt mit dem Let's Encrypt Zertifikat.

Habe aber nur OWA nach aussen offen. Der rest ist nur via VPN erreichbar. DNS mache ich hier im Splitt-Modus.

Gerade eben schrieb NorbertFe:

Das solltest du bei Exchange aber nicht tun. :)

Ich wollte nur wissen, ob es tendenziell möglich wäre

vor einer Stunde schrieb cj_berlin:

Moin,

 

welchen Fehler bekommst Du denn, wenn Du Enable-ExchangeCertificate zu diesem Zertifikat versuchst? Die Fehlermeldung enthält da meistens sachdienliche Hinweise  

Es kommt die Meldung Zertifikat mit dem Fingerabdruck nicht vorhanden. Das ist ja das Problem, das ich es mit Get-ExchangeCertificate schon gar nicht sehe. Es ist aber in der Windows MMC zu sehen.

vor 1 Stunde schrieb mikro:

Moin,

 

probier mal imd CMD certutil –repairstore my <serial number>  Du musst Dir unter certlm.msc die Seriennummer des Zertifikats raussuchen und Ohne Spaces hier nutzen.

Gruß Mikro

Verschlüsselungstest wurde durchgeführt
CertUtil: -repairstore-Befehl wurde erfolgreich ausgeführt.

Hat aber leider keine Besserung gebracht. 

Habe auch schon versucht den Server & iis neuzustarten. 

Als Info kann ich noch sagen, das ich im IIS das Zertifikat bei einer HTTPS Bindung auswählen könnte.

Viele Grüße

Lutz

Guten Morgen,

ich betreue einen Exchange 2013 Server mit den letzten Updates. Ich wollte ein von Let's Encrypt erstelltes Zertifikat importieren.

Die einzelnen Dateien habe ich mit openssl zu einem pfx zusammengeführt:

openssl pkcs12 -export -out certificate.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem

Ich kann dieses auch in Windows oder mit der Exchange ECP importieren und es erscheint in der MMC Zertifikate unter Lokale Computer-Eigene Zertifikate mit dem Private Key Symbol. Leider kann ich es via Get-ExchangeCertificate oder in der ECP nicht sehen und somit auch nicht zuweisen.

Ob ich den Import via Web-Gui oder Powershell mache, hat das gleiche Ergebnis.

Hat noch jemand eine Idee?

Viele Grüße

Lutz