Sana 10 Geschrieben 23. August 2010 Melden Teilen Geschrieben 23. August 2010 Hallo! Ich habe derzeit ein Problem mit der Erreichbarkeit meines OWAs. Hier ist das Szenario: 2 Domänen in einer Gesamtstruktur. Beide Domänen haben eine eigene CA (da es sich fast um getrennte Firmen handelt) Die Exchangeserver sind in einer Organisation haben aber je eine eigene Maildomäne. Auf beiden Exchangeservern ist OWA eingerichtet. Da die Zertifikate der beiden webseiten grade am Ablaufen sind, haben wir diese folgend erneuert: Über IIS die Anforderung auf Erneuerung gestellt und am CA authorisiert, zurückkopiert und per Powershell dann authorisiert. Nun kommt das spannende: Bei den Domänen kommt, wenn man https://server.domain.local/owa'>https://server.domain.local/owa die webseite mit dem neuen Zertifikat daher. Soweit alles gut. Extern jedoch wird immer noch das alte Zertifikat angezeigt. Das gleiche gilt für outlook anywhere. Auch hier wird immer noch das alte Zertifikat ausgeworfen. Testweise habe ich dann bei einer der Maildomänen das alte Zertifikat nach Sicherung gelöscht. Vorher wurden alle services auf das neue übertragen. Komischerweise ist nun webaccess überhaupt sicht verfügbar (mit oder ohne ssl) wenn man https://server.domain.local/owa benutzt. Kurioserweise bekommt man jedoch den OWA bereitgestellt wenn man nur den lokalen Domainnamen ala https://domain.local/owa benutzt. Ebenso funkts mit der IP Und bevor ich nun zu drastischen Mitteln ala Deinstallieren des CAS und IIS greife wollte ich fragen ob ich etwas offensichtliches übersehen habe. Auch würde mich interessieren warum extern und intern verschiedene Zertifikate bei gleichen Webseiten angezeigt werden. mfg sana Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 23. August 2010 Melden Teilen Geschrieben 23. August 2010 Bei Exchange 2007 fordert man das Zertifikat per Powershell an, installiert es per Powershell und aktiviert es per Powershell. Alles andere führt zu genau dem "merkwürdigen" Verhalten, das du beschrieben hast. Bye Norbert Zitieren Link zu diesem Kommentar
Sana 10 Geschrieben 23. August 2010 Autor Melden Teilen Geschrieben 23. August 2010 naja nun neues Zertifikat erstellt: New-ExchangeCertificate ` -GenerateRequest ` -SubjectName "c=AT, o=Firma, ou=IT, cn=owa.Firma.com" ` -IncludeAcceptedDomains ` -IncludeAutodiscover ` -DomainName owa.firma.com,owa ` -privatekeyexportable $true ` -Path c:\e2007.req Import-ExchangeCertifiacte C:\e2007.cer Enable-ExchangeCertificate -Thumbprint "irgndwas" -Services IIS,POP,IMAP,SMTP Eingepflegt, aber die Erreichbarkeit ist immer noch nicht gegeben. Und seltsamerweise hat der Server bei der extern erreichbar ist, immer noch das alte Zertifikat drin :( Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 23. August 2010 Melden Teilen Geschrieben 23. August 2010 Dann steht wohl vor deinem Exchange ein Reverseproxy, der das alte Zertifikat hält. Bye Norbert Zitieren Link zu diesem Kommentar
Sana 10 Geschrieben 23. August 2010 Autor Melden Teilen Geschrieben 23. August 2010 so Problem gelöst, tatsächlich hing es daran, dass der IIS MAnager das Zertifikat auf der External Seite immer wieder zurückgesetzt hat wenn man den IIS neu gestartet hat. Intern gingen die Webseiten deshalb richtig und von aussen hin sah es so aus als würde irgendwas gecached werden... dazu sagt man wohl selfowned :> Zitieren Link zu diesem Kommentar
kwakS 10 Geschrieben 23. August 2010 Melden Teilen Geschrieben 23. August 2010 Hallo, ich muß ebenfalls das Zertifikat für unseren OWA erneuern. Wie kann ich für das vorhandene Zertifiakte ein "renewal request" anstoßen (mit der PS)? Über den IIS ist das ja kein Problem aber wie ich hier gelesen habe, sollte man es vermeiden über den IIS zu machen. EDIT: Ich möchte erst einen request durchführen, damit die interne (standalone) CA das Zertifikat erstellen kann. Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 23. August 2010 Melden Teilen Geschrieben 23. August 2010 Hallo kwakS, am einfachsten erzeugst du dir mit New-ExchangeCertificate -GenerateRequest ein neues Zertifikat mit den selben Parametern, funktioniert in der Praxis stressfreier als ein "Renewal" ;) Als kleine Hilfe kannst du das Digicert CSR Tool nutzen: https://www.digicert.com/easy-csr/exchange2007.htm Zitieren Link zu diesem Kommentar
kwakS 10 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 Danke für den Link. Ich habe das in meiner Testumgebung mal alles durchgespielt. Allerdings habe ich das Problem, wenn ich das Zertifikat über die PS importiere, geht der private key "verloren" Importiere ich allerdings das gleiche Zertifikat über die IIS existiert der private key. Den certificate request habe ich wie folgt per PS eingeleitet: New-ExchangeCertificate –GenerateRequest –Path c:\owa_contoso.req –SubjectName “c=DE, s=Testbl, l=testcity, o=CONTOSO, ou=IT, cn=owa.contoso.com” –PrivateKeyExportable $True Den Import (per PS) habe ich wie folgt durchgeführt: mport-ExchangeCertificate –path “c:\owa_cert.cer” Aber hier wird, wie bereits geschrieben existiert der private key im Zertifikat bei der Methode nicht. Somit kann ich dann auch das Cert nicht aktivieren (enablen) Jemand eine Idee woran das liegen kann? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 Hallo kwakS, hast du alle Schritte vom Exchangeserver aus getätigt? Also CSR generiert, dann via Webbrowser den CSR eingereicht und heruntergeladen? Zitieren Link zu diesem Kommentar
kwakS 10 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 Ähm nö :) ich habe es nun aber alles vom Exchange server ausprobiert und es sieht gut aus. Jetzt aber eine Frage zur meiner Produktivumgebung. Ich kann leider von meinem Exchange das Zertifikat nicht selbst erstellen. Das heißt ein Kollege hat mir das Zert. aufgrund meines Request "gebaut" Zu welchen Problemen kann es führen, wenn ich das Zert. über den IIS importiere aber das enabling über die PS durchführe? Naja ich werde es morgen ja sehen (hoffentlich ja nicht...) :) Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 Ich kann leider von meinem Exchange das Zertifikat nicht selbst erstellen. Beim CSR wird der private Schlüssel erzeugt und lokal gespeichert, daher ist es wichtig dass du den Request und den Importvorgang auf dem selben Server durchführst. Zu welchen Problemen kann es führen, wenn ich das Zert. über den IIS importiere aber das enabling über die PS durchführe? Zu komischen und nicht nachvollziehbaren ;) Zitieren Link zu diesem Kommentar
kwakS 10 Geschrieben 27. August 2010 Melden Teilen Geschrieben 27. August 2010 Danke für deine Unterstützung. Ich habe das Cert wie in meiner Testumgebung importiert und es hat soweit auch alles funktioniert. Was ich aber nicht verstehe, warum wird beim neustart des IIS Dienstes nicht auch gleich die Default Seite mit neu gestartet? Das hat zu einer kurzen Schrecksekunde bei mir geführt, da nach dem Update des Cert der Zugriff auf das OWA mit der Fehlermeldung "403: Forbidden access" usw. nicht mehr funktioniert hat. Aber jetzt läuft alles wie früher :) Zitieren Link zu diesem Kommentar
andreaskossatz 10 Geschrieben 31. August 2010 Melden Teilen Geschrieben 31. August 2010 Danke für den Link.Den certificate request habe ich wie folgt per PS eingeleitet: New-ExchangeCertificate –GenerateRequest –Path c:\owa_contoso.req –SubjectName “c=DE, s=Testbl, l=testcity, o=CONTOSO, ou=IT, cn=owa.contoso.com” –PrivateKeyExportable $True Jemand eine Idee woran das liegen kann? Hi , probier mal : –PrivateKeyExportable:$True , also lass das Leerzeichen weg und probiers nochmal. Ich mache es immer über PS und es funktioniert super . Gruss Andreas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.