Jump to content
Sign in to follow this  
wernbert

Exchange 2016 - Migration zu neuer PKI

Recommended Posts

Hallo zusammen!

Da unsere aktuelle PKI nicht mehr dem Stand der Technik entspricht bauen wir aktuell gerade parallel eine neue 2 Stufige PKI auf.

 

Die neue PKI bleibt selbstverständlich in der bestehenden AD.

 

Da mir das Thema bisher immer eine wenig suspekt war meine Frage an die Experten:

Welche Auswirkungen hat ein Wechsel der PKI auf Exchange?

 

Verstehe ich das richtig, dass die neue Enterprise PKI ja dann automatisch am Exchange aufgrund der AD-Integration trusted ist?

 

Danke vielmals für eure Tipps.

 

 

Share this post


Link to post

Richtige Antwort ist - das kommt drauf an.

 

Was für ein Zertifikat ist auf dem Exchange jetzt drauf, ein internes oder ein externes?

 

Split-DNS?

 

Welchen Exchange mit welchem Stand hast du?

http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

 

(ist zwar für die Frage nicht relevant, aber...)

 

;)

 

PS: NorbertFe ist im Urlaub...

Share this post


Link to post

Hy Nobbyaushb!

 

Den Exchange Services ist ein Self-Signed zertifikat zugewiesen da im Vorfeld das SSL-Offloading am Loadbalancer erfolgt.

Ja, Split-DNS ist im Einsatz

 

Exchange 2016 CU5 ist im Einsatz.

Wir nach Erscheinen von CU7 gleich angehoben...

Share this post


Link to post

Moin,

 

ein Wechsel der PKI hat grundsätzlich keine anderen Auswirkungen als jeder andere Zertifikatswechsel. Relevant ist eher, an welcher Stelle du die Zertifikate denn einsetzen willst. Grundsätzlich gilt als Faustregel:

  • Manche modernen Produkte setzen an bestimmten "absichtlich" Self-signed-Zertifikate ein. Das ist etwa bei ADFS so, bei Exchange meine ich auch, dass es solche Stellen gibt, dafür bin ich in dem Detail nicht tief genug drin. Wenn solche Konstrukte vorliegen, ist die Empfehlung i.d.R. dass man auch dabei bleibt. (Das lässt sich dann aus der Produktdokumentation ablesen.)
  • Für die Kommunikation mit "außen" sind i.d.R. weder Self-signed noch eigene Zertifikate geeignet, sondern nur solche einer "offiziellen" CA. Damit erspart man sich für bestimmte Kommunikationstypen das Rollout der Root- und Intermediate-Zertifikate.
  • Eine eigene PKI ist meist nur für interne Zwecke geeignet.

Gruß, Nils

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...