Jump to content
Sign in to follow this  
Deatheye

Exchange 2007 self signed Zertifikat Export und Verteilung über AD

Recommended Posts

Hallo zusammen

 

Systeme: Windows Server 2008 / 2008 R2, Windows 7 64 bit, Exchange 2007, Outlook 2010

 

Outlook Meldet nervt schon lange mit nem Sicherheitshinweis beim starten.

Einerseits ist das Zertifikat abgelaufen, andererseits ist es von einer nicht Vertrauenswürdigen Quelle (da self signed).

Ich habe inzwischen das Zertifikat erneuert. Nun wollte ich versuchen das Teil zu exportieren und über AD zu verteilen.

Der Export soll über die Verwaltungsshell gehen, da ich gerne am Schluss ein Script erstellen möchte das für die Zukunft möglichst automatisiert läuft.

 

Mein Versuch bis jetzt sieht so aus:

 

Export-ExchangeCertificate -Thumbprint ********* -Password (Get-Credential).password

 

Allerdings erhalte ich so eine Fehlermeldung:

 

Export-ExchangeCertificate : Der Zugriff auf den privaten Schlüssel ist nicht möglich, oder er kann nicht exportiert werden, weshalb das Zertifikat nicht als PKCS-12 exportiert werden kann.

 

Ich habe inzwischen auch ein Video gesehen in dem der Export über GUI getätigt wurde. Dort wurde der Private schlüsse vom export ausgeschlossen. Allerdings finde ich nciht heraus wie dies über die Shell funktioniert.

 

Bin ich auf dem richtigen Weg oder total daneben? ^^

 

Am Import über AD / GPO konnte ich mich bis jetzt daher noch gar nicht versuchen.

Share this post


Link to post
It might fail coz when you created the certificate, you might have forgotten to mark it as exportable...

 

There is a parameter that we need to include while generating a new certificate request "-PrivateKeyExportable $True"

 

Export funktioniert jetzt schon mal:

$file = Export-ExchangeCertificate -Thumbprint ****** -Password (Get-Credential).password

Set-Content -Path "c:\Exchange.pfx" -Value $file.FileData -Encoding Byte

Share this post


Link to post

wieso startest du nicht einfach ne Zertifikats-MMC auf dem Exchangeserver? Da gibts Export dann auf der Rechten Maustaste.

Ausserdem brauchen deine Clients den private Key des Servers wohl eher nicht. ;)

 

Bye

Norbert

Share this post


Link to post
wieso startest du nicht einfach ne Zertifikats-MMC auf dem Exchangeserver?

Dann wärs's ja zu einfach O_o ;)

Wie bereits oben geschrieben will ich ein script daraus machen für weitere Exchange Server.

Ausserdem brauchen deine Clients den private Key des Servers wohl eher nicht. ;)

? Tatsächlich? Ich hab ehrlich gesagt keine Ahnung wofür der Private Key benötigt wird. Allerdings wird er über die shell standardmässig exportiert. Wenns ne Option gibt das zu deaktivieren toll. Leider finde ich sie nicht.

Oder willst du mir sagen ich exportiere nur den Private key, somit währe das ganze sinnlos? Bin gerade etwas verwirrt ^^

 

EDIT: Damn... Import geht nicht in GPO. Dateityp nicht erkennbar... .PFX müsste aber eigentlich importierbar sein...

Share this post


Link to post
Dann wärs's ja zu einfach O_o ;)

Wie bereits oben geschrieben will ich ein script daraus machen für weitere Exchange Server.

 

Du hast mehrere Exchangeserver? Ich würde ja eher zu einem offiziellem oder einem Zertifikat einer internen CA raten anstatt mit dem selfsigned Mist rumzufummeln.

 

? Tatsächlich? Ich hab ehrlich gesagt keine Ahnung wofür der Private Key benötigt wird.

 

Damit entschlüsselt der Server die Daten die die Clients verschlüsselt an ihn senden. ;)

 

Allerdings wird er über die shell standardmässig exportiert. Wenns ne Option gibt das zu deaktivieren toll. Leider finde ich sie nicht.

 

Weiß ich grad nicht, aber wie gesagt siehe oben. Anstatt sowas rumzubasteln, würde ichs lieber gleich richtig lösen.

 

 

EDIT: Damn... Import geht nicht in GPO. Dateityp nicht erkennbar... .PFX müsste aber eigentlich importierbar sein...

 

Nein, denn da ist der private Schlüssel enthalten. Damit wäre dann die Sicherheit fürn Popo wenn du den per Massenimport im GPO ausrollen könntest. ;)

 

Bye

Norbert

Share this post


Link to post

Managing exchange certificates (Part 2)

 

Gerade gefunden auch dort wird der Export mit Private key ausgeführt. Ist eigentlich genau das was ich machen möchte Import funktioniert aber immer noch nicht.

Wenn es wirklich keine gute Idee ist den Private key zu exportieren udn auf die Clients zu verteilen frage ich mich warum es dort auch so gemacht wird...

 

Mir geht's darum ein Script vorzubereiten um bei diversen Kunden in zukunft die Aufgabe durchzuführen. Also nicht um mehrere Exchangeserver in einer umgebung.

 

Im moment teste ich es in meiner privaten umgebung. Da leg ich mir sicher kein teures Zertifikat zu ;)

 

Usually a PFX file will have a password associated, so scripting usually isn't a great option due to that. Having a PFX without a password isn't secure and pretty much negates the security of the certificate

Der Export iwrd mit Passwort ausgeführt.

Share this post


Link to post

Was ist so schwer daran, den Exportvorgang manuell per MMC zu organisieren? Das macht man sowieso nur einmal alle 5 Jahre. Das dort exportierte Zertifikat _ohne_ private Key kannst du dann auch per GPO verteilen.

 

Man kann sichs auch umständlich machen. ;)

 

Bye

Norbert

Share this post


Link to post

Fast keiner der Kunden die ich bis jetzt hatte leisten sich ein offizielles Zertifikat. Die meissten benötigen keinen Remotezugriff auf Exchange, von den wenigen die den Zugriff möchten leistet sich nur der kleinste Teil ein richtiges Zertifikat. Ich weiss ja nicht in was für ner Umgebung Du arbeitest aber ich mache in all den Jahren mit KMU nur die Erfahrung, dass die meissten die Einstellung "Geiz is geil" zur Perfektion treiben.

Falls du da weniger Probleme hast gratuliere ich dir. Würd mir wünschen auch mehr solche Umgebungen zu haben wo nicht wegen 20 Euro auf der Rechnung ein 1 Stunden gespräch mit dem Kunden geführt werden muss ob er die nun zahlt oder nicht...

Das bedeutet die meissten benötigen diese Arbeit jedes Jahr.

 

Ich habs jetzt mal über die MMC gemacht, ging kurz und schnell. Das einzige Problem war noch das die Domäne irgendwie ne macke hatte. Nach nem crash vor einigen Monaten spackte der erste DC rum. Beim verteilen auf die Clients gab's daher Probleme, dass die GPO irgendwie da war (in der Verwaltung sichtbar) aber nicht im sysvol Verzeichnis daher nicht auffindbar. Kurzerhand den alten demotet und alle FSMO Rollen verschoben dann war's kein Problem mehr. Funzt wunderbar, Outlook ist endlich zufrieden.

 

Ich würd mich trotzdem noch über ein Script freuen. Nach cirka 5h muss ich allerdings sagen das mir die Lust vergangen ist da weiter rumzuwerkeln.

 

Falls jemand gerade die Lösung parat (per shell export) hat wär ich dankbar.

 

Bei 5 Jahren is es klar, dass es sich noch weniger lohnt der aufwand. Mich würds aber echt wunder nehmen wie es gehen würd. Kann doch nicht sein, dass überall über den export per Shell geschrieben wird aber danach der import in ner GPO nicht funktioniert. Vor allem geht das einte Beispiel ja explizit auf das ein was ich wollte aber klappt trotzdem nicht.. naja.

 

Danke jedenfalls für deine Mühe :D

Share this post


Link to post
Fast keiner der Kunden die ich bis jetzt hatte leisten sich ein offizielles Zertifikat. Die meissten benötigen keinen Remotezugriff auf Exchange, von den wenigen die den Zugriff möchten leistet sich nur der kleinste Teil ein richtiges Zertifikat.

 

 

Fast alle Kunden die ich verlassen habe und die Remotezugriff benötigten, haben hinterher ein offizielles Zertifikat.

 

Ich weiss ja nicht in was für ner Umgebung Du arbeitest

 

In vielen. Oder was war jetzt die Frage?

 

aber ich mache in all den Jahren mit KMU nur die Erfahrung, dass die meissten die Einstellung "Geiz is geil" zur Perfektion treiben.

 

Ich mache die Erfahrung, dass viele das nur deswegen so tun, weil ihnen der Berater oft nicht plausibel die Vorteile von vernünftigen technischen Lösungen erklären kann. (das gilt jetzt nicht für dich)

 

Falls du da weniger Probleme hast gratuliere ich dir. Würd mir wünschen auch mehr solche Umgebungen zu haben wo nicht wegen 20 Euro auf der Rechnung ein 1 Stunden gespräch mit dem Kunden geführt werden muss ob er die nun zahlt oder nicht...

 

Hab ich tatsächlich nicht und ich bin auch froh drüber.

 

Das bedeutet die meissten benötigen diese Arbeit jedes Jahr.

 

Und spätestens jetzt würde jeder normal begabte Geschäftsführer mal den Taschenrechner in die Hand nehmen und deine Dienstleistung für jedes Jahr (export des Zertifikats, Einbindung per GPO usw. usf) gegen den normalerweise einmaligen Aufwand pro 3 Jahre (weniger lang gültige Zertifikate würde ich nicht empfehlen) dagegenzurechnen. Wenn du natürlich nur 25€ inklusive Anfahrt oder Remotezugriff kostest kann ich dir nicht helfen. :p

Ausserdem steht diese Arbeit eben nicht jedes Jahr an, da seit Exchange 2007 SP1 das selbstsignierte Zertifikat 5 Jahre Gültigkeit besitzt. Und selbst dann würd ich das versuchen den Kunden auszureden.

 

Ich habs jetzt mal über die MMC gemacht, ging kurz und schnell.

 

Sagte ich doch.

 

Ich würd mich trotzdem noch über ein Script freuen. Nach cirka 5h muss ich allerdings sagen das mir die Lust vergangen ist da weiter rumzuwerkeln.

 

Ich verstehs nicht. Erkläre mir bitte einen vernünftigen Fakt, warum das per Skript irgendwie besser zu lösen sein soll.

 

 

Bye

Norbert

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...