x2010 Root CA verlängern

[mcseboarduser23 0]

Liebe Community,

 

folgendes Anliegen habe ich, wir haben

Environment 2010 SP3 UR12

2x CAS/HT
nX MB Server

Bei dem CAS/HT Server laufen 4x Dienste IIS,SMTP…

 

Zertifikatsdomänen:
autodiscover.domäne.eu, sowie domäne A,B,C…

Das alte Zertifikate wurde über eine ROOT CA (intere Zertifizierungsstelle) ausgestellt n war 2 Jahre gültig.

Dieses läuft im März aus.

über die Exchange Konsole EMC kann ich das das aktuelle Zertifikat
(verlängert, einen Request erstellen)

mein bisheriges doing:

das aktuelle zertifikat exportiert *.pfx
cmdlet – get-certifikate .. thumbprint ABC… gesichert.
über die EMC einen request erstellt, dieser wurde über die ROOT CA bearbeitet, ich habe jetzt ein *.PEM bzw/Zertifikat

nun meine Frage:

von dem aktuellen Zertifikat habe ich folgende Infos

Get-ExchangeCertificate | fl
 

Thumbprint E2D9B9B...0A60ß Zertifikat alt
Services IIS,POP,IMAP,UM,SMTP
Aussteller
von
bis

Den Fingerprint vom alten Zertifikate muss ich aufs neue übertragen, richtig?

 

Mit:
Get-ExchangeCertificate | fl
Enable-ExchangeCertificate -Thumbprint altes Certifikat -Services IIS,POP,IMAP,UM,SMTP

Anschließend mache ich das auf dem zweiten CAS/HT Server ebenfalls?

 

Welche test wären ausserdem sinnvoll

Mailversand intern/extern
SMTP Versand via Telnet
test* cmdlets

und zum Schluss Remove-ExchangeCertificate OLD

 

Welche Option auf ein „Failback“ habe ich

 

Danke n Gruss

bearbeitet 20. Februar 2016 von mcseboarduser23

[mcseboarduser23 0]

Hat keiner eine Idee?

[blub 115]

Den Fingerprint vom alten Zertifikate muss ich aufs neue übertragen, richtig?

Nein, das ist ein prinzipieller Fehler. Der Fingerprint ist der einzigartige Hash eines jeden Zertifikats. Hashalgorithmen wie SHA1, SHA256... erstellen aus Zertifikatsfeldern wie Aussteller, Gültig von, Gültig bis.... einen einzigartigen Hashwert (=Fingerprint). Veränderst du nur ein einziges Zeichen an den Pflichtfeldern im Zertifikat, so muss sich der Hashwert laut Spezifikation komplett ändern und darf dem ersten Wert nichtmal im Entferntesten ähneln. d.h. den einzigartigen Fingerprint kannst du nicht ein zweites Mal benutzen.

BTW: SHA1 läuft so langsam aus. Besser SHA256 benutzen, nur falls ihr noch SHA1 habt

 

Von Mail-Exchange ansich habe ich leider 0 Ahnung

blub

[mcseboarduser23 0]

danke blubb

wo sind die ganzen MVPs?? zu komplex das Thema

[NorbertFe 2.283]

bestimmt :rolleyes: könnte aber auch am Wochenende liegen, oder daran, dass man sich hier nicht zur Antwort genötigt fühlen will. Viel Erfolg noch.

[mcseboarduser23 0]

du kannst es echt nicht lassen oder?

[NorbertFe 2.283]

Du auch nicht, oder?

[Dukel 468]

Zertifikat installieren und den Diensten zuweisen und danach sollte es greifen. Überprüfen kannst du dies mit openssl.

Das alte Zertifikat musst du nicht löschen, kannst es aber.

Fallback wäre das neue zu löschen und das alten nicht zu löschen.

[mcseboarduser23 0]

@ Dukel

 

danke, 2 Fragen an dich.

 

sind im dem REQ File vom alten Zertifikat, die Infos über Zertifikatsdomänen  sowie Infos zum private Key?

 

folgendes würde ich nun umsetzen

 

den Fingerprint vom neuen Zertifikat aufschreiben, dann mit

 

mit dem cmdlet:

Enable-ExchangeCertificate -Thumbprint neuesZertifikat -Services POP,IMAP,SMTP,IIS ausführen.

ich bin mir aber nicht sicher zur CertificateDomains, sind diese Infos im neuer Zertifikat?

[testperson 1.860]

sind im dem REQ File vom alten Zertifikat, die Infos über Zertifikatsdomänen  sowie Infos zum private Key?

Ja. Was auch immer du mit dem alten CSR vor hast..

 

 

ich bin mir aber nicht sicher zur CertificateDomains, sind diese Infos im neuer Zertifikat?

Kommt drauf an ob du das Zertifikat erneurst oder ein neues Zertifikat erstellst. Sollte aber auch logisch sein, was in welchem Fall an FQDNs / Hosts im Zertifikat enthalten sind.

[mcseboarduser23 0]

wenn ich für das Zertifikat zuständig wäre, wäres einfacher...

 

also die CertificateDomains stehen nicht drin - kann ich die über

 

Enable-ExchangeCertificate -Thumbprint NeuesCert -Services POP,IMAP,SMTP,IIS -CertificateDomains a,d,c,autodiscover.nl manuell hinzufügen?

[testperson 1.860]

Nein. Evtl. solltest du generell jemanden fragen, der für den Exchange und das Zertifikat zuständig ist und mit den Grundlagen vertraut ist.

[mcseboarduser23 0]

Subject Alternative Name = CertificateDomains, wie kann ich diese dem neuen Zertifikat mitgeben

diese Infos brnigen mich nicht weiter, ich bin der glückliche, also

 

erneut meiner Frage:

 

Subject Alternative Name = CertificateDomains, wie kann ich diese dem neuen Zertifikat mitgeben

[testperson 1.860]

https://technet.microsoft.com/de-de/library/bb310795%28v=exchg.141%29.aspx

[blub 115]

Subject Alternative Name = CertificateDomains, wie kann ich diese dem neuen Zertifikat mitgeben

klassisch mit certreq, in etwa so:

certreq -submit -attrib "SAN:DNS=server1.test.net&DNS=server2.test.net" offline.cer
certreq -accept offline.cer

Mit Powershell (spätestens ab 5.0) sollte es eine Alternative geben, vermute ich!

 

Aber wenn es schon ein VorgängerZertifkat gibt, dann wende dich doch an den Aussteller desselben. An dessen Prozess solltest du dich halten.

Wenn es keinen Prozess gibt, dann würde ich das ganze PKI-Konstrukt in Frage stellen. Definierte, dokumentierte Prozesse sind das Wichtigste an einer PKI.

 

blub