Jump to content

Verständnisfrage Zertifikate / Exchange 2010


Snecx
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

Ich habe eine Frage zu Zertifikaten generell und dem Exchange 2010.

Ich habe einen W2008R2 mit Exchange 2010. Auf dem Server selbst ist auch

die CA installiert.

 

Jetzt erstelle ich mir einen Request und signiere mit meiner CA. Danach ist das Zertifikat gültig und ich muss nur noch auf den Clients das Root Cert von meiner CA installieren.

 

Jetzt akzeptieren alle Clients auch das Zertifikat. Das funktioniert so bei mir ohne Probleme.

 

Jetzt installiere ich das Root Cert von meiner CA auf einen anderen W2008 Server und signiere diesen Request mit meiner CA.

Wenn ich jetzt den Wizard abschließe sagt mir aber Exchange 2010 das das Zertifikat ungültig ist.

 

Ich dachte immer wenn ich ein Root Zert von einer CA habe dann wird das signierte Zertifikat auch als "OK" bzw. vertrauenwürdig behandelt.

 

Verstehe ich denn da etwas verkehrt oder warum ist das Zert auf meinem ersten Server (wo die CA instaliert ist) und auf dem zweiten nciht ok. (Da wo nur das Root Zert installiert ist)

 

Es wäre nett wenn mich jemand in die richtige Richtung schubst.

 

Danke

andreas

Link zu diesem Kommentar
Hallo

 

Ich habe eine Frage zu Zertifikaten generell und dem Exchange 2010.

Ich habe einen W2008R2 mit Exchange 2010. Auf dem Server selbst ist auch

die CA installiert.

 

Die CA auf dem Exchange ist eher ungünstig, aber naja.

 

Jetzt erstelle ich mir einen Request und signiere mit meiner CA. Danach ist das Zertifikat gültig und ich muss nur noch auf den Clients das Root Cert von meiner CA installieren.

 

Ja, wobei bei Domänenmitgliedern und AD-integrierter CA dies automatisch geschieht.

 

Jetzt akzeptieren alle Clients auch das Zertifikat. Das funktioniert so bei mir ohne Probleme.

 

Korrekt.

 

Jetzt installiere ich das Root Cert von meiner CA auf einen anderen W2008 Server und signiere diesen Request mit meiner CA.

 

Welchen Request denn?

 

Wenn ich jetzt den Wizard abschließe sagt mir aber Exchange 2010 das das Zertifikat ungültig ist.

 

Ich verstehe grad nicht, was genau du da tust.

 

 

Ich dachte immer wenn ich ein Root Zert von einer CA habe dann wird das signierte Zertifikat auch als "OK" bzw. vertrauenwürdig behandelt.

 

Naja man kann auch andere Fehler fabrizieren als nur "keine trusted root" zu haben. ;)

 

Bye

Norbert

Link zu diesem Kommentar

Hallo

 

Also das ist alles keine Produktivumgebung oder so. Ich spiele nur ein bischen mit den Servern herum. Mir geht es dabei eher um vestehen und probieren.

 

Mit dem Request meine ich folgendes. Auf einem zweiten W2008 mit Exchange benötige ich ja auch ein Zertifikat für OWA usw. Ich erstelle also ein Zertifikatrequest in der Managementkonsole für Exchange. Diesen Request reiche ich an meinen anderen W2008 weiter wo der CA installiert ist.

Dort bekomme ich ja eine Antwort. Mit der Antwort kann ich dann wieder auf den anderen Server und den Request abschließen.

 

Beim Server wo die CA installiert ist bekomme ich auch ein OK. Beim Server wo ich nur das Root Zertifikat importiert habe von meiner CA sagt die Konsole mir das das Zertifikat nicht für die Verwendung mit Exchange geeignet ist.

 

Der zweite W2008 ist nicht innerhalb der Domaine des ersten W2008. Mir geht es nicht um Sinn oder nicht Sinn, sondern um zu Verstehen warum dort die Meldung kommt Nicht für die Verwendung für Exchange geeignet.

 

Schau ich mir aber den Zwertifizierungspfad des Zertifikats an steht dort Das Zertifikat ist gültig.

Link zu diesem Kommentar
Beim Server wo die CA installiert ist bekomme ich auch ein OK. Beim Server wo ich nur das Root Zertifikat importiert habe von meiner CA sagt die Konsole mir das das Zertifikat nicht für die Verwendung mit Exchange geeignet ist.

 

Der zweite W2008 ist nicht innerhalb der Domaine des ersten W2008. Mir geht es nicht um Sinn oder nicht Sinn, sondern um zu Verstehen warum dort die Meldung kommt Nicht für die Verwendung für Exchange geeignet.

 

Wahrscheinlich weil der zweite Exchange den Zertifizierungspfad überprüfen will und dazu die CA kontakten will. Das kann er aber wahrscheinlich nicht, weil deine Namensauflösung das wahrscheinlich nicht hergibt. Wie du siehst gibts ne Menge "wahrscheinlichs", da du dich mit der Beschreibung deiner Testumgebung nicht grad überschlägst mit Infos.

 

Bye

Norbert

Link zu diesem Kommentar

Ich hatte vor kurzem ähnliche Probleme im Labor.

 

1. Die CA muss für deinen Exchange per DNS auflösbar und erreichbar sein. Sonst meldet Exchange das der Revocation Status nicht überprüft werden konnte.

2. Das Root Cert der CA muss in Trusted Root Authorities auf dem Exchange liegen.

 

Überprüfe Punkt 2.

Öffne eine MMC, lade das Certificates Snap-In für "Computer Account". Und überprüfe ob dein Root CA Cert unter "Trusted Root Certification Authorities / Cerificates" liegt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...