Jump to content
Sign in to follow this  
Snecx

Verständnisfrage Zertifikate / Exchange 2010

Recommended Posts

Hallo

 

Ich habe eine Frage zu Zertifikaten generell und dem Exchange 2010.

Ich habe einen W2008R2 mit Exchange 2010. Auf dem Server selbst ist auch

die CA installiert.

 

Jetzt erstelle ich mir einen Request und signiere mit meiner CA. Danach ist das Zertifikat gültig und ich muss nur noch auf den Clients das Root Cert von meiner CA installieren.

 

Jetzt akzeptieren alle Clients auch das Zertifikat. Das funktioniert so bei mir ohne Probleme.

 

Jetzt installiere ich das Root Cert von meiner CA auf einen anderen W2008 Server und signiere diesen Request mit meiner CA.

Wenn ich jetzt den Wizard abschließe sagt mir aber Exchange 2010 das das Zertifikat ungültig ist.

 

Ich dachte immer wenn ich ein Root Zert von einer CA habe dann wird das signierte Zertifikat auch als "OK" bzw. vertrauenwürdig behandelt.

 

Verstehe ich denn da etwas verkehrt oder warum ist das Zert auf meinem ersten Server (wo die CA instaliert ist) und auf dem zweiten nciht ok. (Da wo nur das Root Zert installiert ist)

 

Es wäre nett wenn mich jemand in die richtige Richtung schubst.

 

Danke

andreas

Share this post


Link to post
Hallo

 

Ich habe eine Frage zu Zertifikaten generell und dem Exchange 2010.

Ich habe einen W2008R2 mit Exchange 2010. Auf dem Server selbst ist auch

die CA installiert.

 

Die CA auf dem Exchange ist eher ungünstig, aber naja.

 

Jetzt erstelle ich mir einen Request und signiere mit meiner CA. Danach ist das Zertifikat gültig und ich muss nur noch auf den Clients das Root Cert von meiner CA installieren.

 

Ja, wobei bei Domänenmitgliedern und AD-integrierter CA dies automatisch geschieht.

 

Jetzt akzeptieren alle Clients auch das Zertifikat. Das funktioniert so bei mir ohne Probleme.

 

Korrekt.

 

Jetzt installiere ich das Root Cert von meiner CA auf einen anderen W2008 Server und signiere diesen Request mit meiner CA.

 

Welchen Request denn?

 

Wenn ich jetzt den Wizard abschließe sagt mir aber Exchange 2010 das das Zertifikat ungültig ist.

 

Ich verstehe grad nicht, was genau du da tust.

 

 

Ich dachte immer wenn ich ein Root Zert von einer CA habe dann wird das signierte Zertifikat auch als "OK" bzw. vertrauenwürdig behandelt.

 

Naja man kann auch andere Fehler fabrizieren als nur "keine trusted root" zu haben. ;)

 

Bye

Norbert

Share this post


Link to post

Hallo

 

Also das ist alles keine Produktivumgebung oder so. Ich spiele nur ein bischen mit den Servern herum. Mir geht es dabei eher um vestehen und probieren.

 

Mit dem Request meine ich folgendes. Auf einem zweiten W2008 mit Exchange benötige ich ja auch ein Zertifikat für OWA usw. Ich erstelle also ein Zertifikatrequest in der Managementkonsole für Exchange. Diesen Request reiche ich an meinen anderen W2008 weiter wo der CA installiert ist.

Dort bekomme ich ja eine Antwort. Mit der Antwort kann ich dann wieder auf den anderen Server und den Request abschließen.

 

Beim Server wo die CA installiert ist bekomme ich auch ein OK. Beim Server wo ich nur das Root Zertifikat importiert habe von meiner CA sagt die Konsole mir das das Zertifikat nicht für die Verwendung mit Exchange geeignet ist.

 

Der zweite W2008 ist nicht innerhalb der Domaine des ersten W2008. Mir geht es nicht um Sinn oder nicht Sinn, sondern um zu Verstehen warum dort die Meldung kommt Nicht für die Verwendung für Exchange geeignet.

 

Schau ich mir aber den Zwertifizierungspfad des Zertifikats an steht dort Das Zertifikat ist gültig.

Share this post


Link to post
Beim Server wo die CA installiert ist bekomme ich auch ein OK. Beim Server wo ich nur das Root Zertifikat importiert habe von meiner CA sagt die Konsole mir das das Zertifikat nicht für die Verwendung mit Exchange geeignet ist.

 

Der zweite W2008 ist nicht innerhalb der Domaine des ersten W2008. Mir geht es nicht um Sinn oder nicht Sinn, sondern um zu Verstehen warum dort die Meldung kommt Nicht für die Verwendung für Exchange geeignet.

 

Wahrscheinlich weil der zweite Exchange den Zertifizierungspfad überprüfen will und dazu die CA kontakten will. Das kann er aber wahrscheinlich nicht, weil deine Namensauflösung das wahrscheinlich nicht hergibt. Wie du siehst gibts ne Menge "wahrscheinlichs", da du dich mit der Beschreibung deiner Testumgebung nicht grad überschlägst mit Infos.

 

Bye

Norbert

Share this post


Link to post

Ich hatte vor kurzem ähnliche Probleme im Labor.

 

1. Die CA muss für deinen Exchange per DNS auflösbar und erreichbar sein. Sonst meldet Exchange das der Revocation Status nicht überprüft werden konnte.

2. Das Root Cert der CA muss in Trusted Root Authorities auf dem Exchange liegen.

 

Überprüfe Punkt 2.

Öffne eine MMC, lade das Certificates Snap-In für "Computer Account". Und überprüfe ob dein Root CA Cert unter "Trusted Root Certification Authorities / Cerificates" liegt.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...