Jump to content

Exchange 2010 Zertifikat für OWA neu erstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

ich habe in der Exchange Verwaltungskonsole versehentlich ein Zertifikat gelöscht was fürs OWA zuständig war, zumindest funktioniert OWA nun nicht mehr. Es jetzt nur noch eine Zertifikat namens "Microsoft Exchange" vorhanden.

Also habe ich den Assistenten für ein neues Zertifikat ausgeführt und wollte anschliessend mit der *.REQ Datei über https://<Server>//certsrv das Zertifikat erstellen. Diese Seite ist nicht zu finden. Wenn ich auf http://<Server>//certsrv

gehe, bekomme ich den Hinweis das die Seite nur per SSL zu erreichen ist.

Hat jemand eine Idee wie ich da weiterkomme?

Link zu diesem Kommentar

In der Tat sind die AD Zertifikatdienste nicht installiert. OWA hat aber definitiv zuvor funktioniert.

Das Dumme ist das ich den Server nicht installiert habe und der bisherig Admin nicht erreichbar ist, ganz zu schweigen von einer Doku.

Der Server ist zwar eine VM unter EXI, aber eine Sicherung gibt es nicht. Ich bin mir unsicher was ich zerhaue wenn ich die Zertifikatdienste installiere.

Link zu diesem Kommentar

OWA hat auch nichts mit den Zertifikatsdiensten zu tun. Letzte braucht man nur, um dar Zertifikat zu signieren.

 

Das mit der Windows CA ist nicht in ein paar Worten erklärt, es schadet aber nichts, im Unternehmen eine zu haben. Theoretisch ist es möglich, die auf dem Exchange zu installieren, würde ich aber nicht machen.

 

Außerdem müsste man vorher abklären, ob nicht in AD eventuell noch Reste einer CA stecken.

 

Nimm einen neuen Server (dank VM ja nicht so aufwendig) und in diesem wir die Windows CA als "Unternehmns-Stamm-CA" installiert.

Hierbei muss die Webregistrierung als Rollendienst hinzugefügt werden (die richtig, es gibt drei ähnlich klingende, Hilfetexte lesen!)

Das Root-CA-Zert wird per GPO verteilt (u.U. passiert das sogar automatisch nach der Installation)

Der Exchange Request wird dann von der Windows CA signiert

 

Bitte denk aber daran, dass ein internes Zertifikat außen nicht vertrauenswürdig ist und die Leute außerhalb von AD Zertifikatsfehler bekommen.

 

Viel kaputt machen kann man damit eigentlich nur, wenn es schon bestehende Strukturen gibt. Wenn nichts da ist, kommt nur was hinzu.

 

Wenn Du Dir unsicher bist, müsst ihr Euch eben einen Fachkundigen ins Haus holen und das Geld als Lerneffekt titulieren.

Link zu diesem Kommentar

Hey Leute - bitte lasst das mal mit der Webregistrierung - für ein Exchange Cert braucht die niemand! Zertifikatsvorlagen erstellen, und Requests einreichen, dafür braucht man nur eine MMC.

 

@Pe.Vo - Du wirst sicher ein sog. SAN Zertifikat benötigen, von daher sind die von tesso genannten 50€ sicherlich mehr als optimistisch gerechnet.

 

Wenn noch Hilfe fehlt - immer Fragen:

 

P.S.: Es wäre sehr sinvoll wenn du uns die Server Version und die genaue Exchange Version nennest.

Link zu diesem Kommentar

Ich stimme Dir zu und hatte den Erwerb eines Zertifikates auch schon geprüft. Für 50,- Euro / Jahr habe ich aber nichts gefunden. Die Preise lagen eher so bei 140,- aufwärts.

Zudem gibt es eine Vielzahl von unterschiedlichen Zertifikaten, was mir die Entscheidung aufgrund von Unkenntnis nicht leichter macht.

Bin also für Tipps dankbar.



Hallo Substyle,

nur eine MMC - mehr nicht - ist das nicht auch etwas zu optimistisch :rolleyes:



Es handelt sich um ein aktuell gepatchten Server 2008R2 mit einem Exchange 2010SP2

Link zu diesem Kommentar

Moin.

 

Eine eigene CA für ein einziges Zertifikat zu erstellen halte ich zu viel des Guten. Ein UCC bekommt man für ca. 50€ pro Jahr zu kaufen. Warum sollte man sich bei dem Preis mit einer CA auseinandersetzen?

 

eine interne CA kann man auch gut für andere Dinge gebrauchen, z.B. für SSL-Seiten von Routern, für interne Webserver, Makro-Signatur, etc. Die Entscheidung ist nur: Muss das auch extern fehlerfrei sein. Wenn nicht, tut es eine interne CA wunderbar.

 

 

Hey Leute - bitte lasst das mal mit der Webregistrierung - für ein Exchange Cert braucht die niemand! Zertifikatsvorlagen erstellen, und Requests einreichen, dafür braucht man nur eine MMC.

 

"Niemand" stimmt nicht. Sollte es ein SAN-Zertifikat werden, muss es über die Webseite oder certutil eingericht werden. Certutil macht keinen echten Spaß. SAN-Zertifikate gehen nicht über die MMC.

 

Außerdem ist bei Nutzung durch andere Admins oder gar User es sicher deutlich einfacher, wenn es eine Webseite gibt.

 

@Pe.Vo - Du wirst sicher ein sog. SAN Zertifikat benötigen, von daher sind die von tesso genannten 50€ sicherlich mehr als optimistisch gerechnet.

 

Wieviele Namen in einem Zertifikat stehen müssen, kann man aus der Ferne nur schwer beurteilen.

 

50 Euro halte ich aber auch zu wenig.  Echte UCC-Zertifikate machen noch dazu richtig Aufwand, weil es die nicht als Class 3 Zertifikate gibt. Da muss man dann Unterlagen einreichen oder persönlich erscheinen.

 

 

Ich stimme Dir zu und hatte den Erwerb eines Zertifikates auch schon geprüft. Für 50,- Euro / Jahr habe ich aber nichts gefunden. Die Preise lagen eher so bei 140,- aufwärts.

 

Ein einfaches Class 3 bekommt man für 15 Euro im Jahr. Das kann reichen, wenn man den Rest der Infrastruktur richtig aufbaut.

 

Zudem gibt es eine Vielzahl von unterschiedlichen Zertifikaten, was mir die Entscheidung aufgrund von Unkenntnis nicht leichter macht.

 

Hier verwirrt Dich das Marketing. Eigentlich gibt es genau EIN Zertifikat für SSL-Verschlüsselung. Bei Zertifikaten hängt es von den Attributen ab, SSL braucht "Serverauthentifizierung". Höchstens der Webserver-Version ist bei der Beantragung noch wichtig.

 

Link zu diesem Kommentar

Certification Authorities ist leer, wie auch alle anderen Container unter Public Key Services

 

Dann gab es noch nie eine AD-integrierte CA.

 

UCC Zertifikat 46,79€ bei https://certificatesforexchange.com/

 

Habe ich mehrfach genutzt und funktioniert.

 

Interessant. Sind das "echte" SAN oder nur, wie in der Hilfe gezeigt, unterschiedliche Subdomains? Letzteres kostet hier (allerdings nur mit 3 Subs) sogar nur 39 Euro.

 

Falls jemand jetzt noch einen Tipp hat wie ich das fixen kann - her damit ansonsten vergessen wir das Thema.

 

Na, was brauchst Du nun noch als Tipp? Reqeuest erzeugen und in der internen oder der aus den Links einreichen und Antwort wieder zurück in den Exchange.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...