Jump to content

Exchange 2016 - Migration zu neuer PKI

wernbert

Von wernbert
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

wernbert Experienced

wernbert   10

Geschrieben
Geschrieben

Hallo zusammen!

Da unsere aktuelle PKI nicht mehr dem Stand der Technik entspricht bauen wir aktuell gerade parallel eine neue 2 Stufige PKI auf.

 

Die neue PKI bleibt selbstverständlich in der bestehenden AD.

 

Da mir das Thema bisher immer eine wenig suspekt war meine Frage an die Experten:

Welche Auswirkungen hat ein Wechsel der PKI auf Exchange?

 

Verstehe ich das richtig, dass die neue Enterprise PKI ja dann automatisch am Exchange aufgrund der AD-Integration trusted ist?

 

Danke vielmals für eure Tipps.

 

 

Nobbyaushb Grand Master

Nobbyaushb   1.580

Geschrieben
Geschrieben

Richtige Antwort ist - das kommt drauf an.

 

Was für ein Zertifikat ist auf dem Exchange jetzt drauf, ein internes oder ein externes?

 

Split-DNS?

 

Welchen Exchange mit welchem Stand hast du?

http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

 

(ist zwar für die Frage nicht relevant, aber...)

 

;)

 

PS: NorbertFe ist im Urlaub...

wernbert Experienced

wernbert   10

Geschrieben
  • Autor
Geschrieben

Hy Nobbyaushb!

 

Den Exchange Services ist ein Self-Signed zertifikat zugewiesen da im Vorfeld das SSL-Offloading am Loadbalancer erfolgt.

Ja, Split-DNS ist im Einsatz

 

Exchange 2016 CU5 ist im Einsatz.

Wir nach Erscheinen von CU7 gleich angehoben...

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben

Moin,

 

ein Wechsel der PKI hat grundsätzlich keine anderen Auswirkungen als jeder andere Zertifikatswechsel. Relevant ist eher, an welcher Stelle du die Zertifikate denn einsetzen willst. Grundsätzlich gilt als Faustregel:

  • Manche modernen Produkte setzen an bestimmten "absichtlich" Self-signed-Zertifikate ein. Das ist etwa bei ADFS so, bei Exchange meine ich auch, dass es solche Stellen gibt, dafür bin ich in dem Detail nicht tief genug drin. Wenn solche Konstrukte vorliegen, ist die Empfehlung i.d.R. dass man auch dabei bleibt. (Das lässt sich dann aus der Produktdokumentation ablesen.)
  • Für die Kommunikation mit "außen" sind i.d.R. weder Self-signed noch eigene Zertifikate geeignet, sondern nur solche einer "offiziellen" CA. Damit erspart man sich für bestimmte Kommunikationstypen das Rollout der Root- und Intermediate-Zertifikate.
  • Eine eigene PKI ist meist nur für interne Zwecke geeignet.

Gruß, Nils

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...