Nobbyaushb 1.359 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 Wenn du eh umbauen willt, nimm doch gleich ein externes Zert, zur Not kostenlos von Letsencrypt Läuft den die CA auf dem SBS noch sauber? Zitieren Link zu diesem Kommentar
derandi 10 Geschrieben 7. März 2019 Autor Melden Teilen Geschrieben 7. März 2019 (bearbeitet) Hi, ob die CA noch sauber läuft weiss ich ehrlich gesagt nicht. Wie bekomm ich denn ohne externe CA hier ein Zertifikat hin, dass Outlook beim Starten schweigen lässt. Ich glaube ich stehe irgendwie auf dem Schlauch O_o Brauche den Server von extern nicht zu erreichen. Es geht nur um die Zertifikatsmeldung von Outlook. Da sollte doch ein selbstsigniertes Zertifikat reichen. Viele Grüße bearbeitet 7. März 2019 von derandi Zitieren Link zu diesem Kommentar
tesso 360 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 Wenn die Anforderung nich über den IIS funktioniert nimm doch die Kommandozeile oder versuche es direkt an der CA-Konsole. Zitieren Link zu diesem Kommentar
derandi 10 Geschrieben 7. März 2019 Autor Melden Teilen Geschrieben 7. März 2019 Ist die Vorgehensweise denn richtig? Ich habe mir im Exchange eine Zertifikatsanforderung erstlellt und diese muss von der internen CA (AD Zertifizierungsdienst) zertifizieren lassen? Hab irgendwie das Gefühlt, dass das Problem einfach zu lösen sein sollte. Sehe den Wald vor lauter Bäumen nicht mehr Zitieren Link zu diesem Kommentar
tesso 360 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 Das Prinzip ist richtig. Wenn die richtigen Namen im Zertifikat stehen sollte das klappen. Musst schauen was deine CA rum muckelt. Zitieren Link zu diesem Kommentar
derandi 10 Geschrieben 7. März 2019 Autor Melden Teilen Geschrieben 7. März 2019 never ending story.. Was benötigt denn der SBS für Zertifikate? Ich hab gesehen, dass dort mehrere Aktiv sind. Beabsichtigte Zwecke: alle, serverauthentifizierung, clientauthentifizierung... Zitieren Link zu diesem Kommentar
derandi 10 Geschrieben 7. März 2019 Autor Melden Teilen Geschrieben 7. März 2019 Kann ich nicht einfach im IIS ein selbstsigniertes Zertifikat anlegen und im Exchange die Dienste zuweisen? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.359 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 vor 10 Minuten schrieb derandi: Kann ich nicht einfach im IIS ein selbstsigniertes Zertifikat anlegen und im Exchange die Dienste zuweisen? NEIN! Zertifikate für Exchange immer im Exchange erstellen / einspielen, um den IIS Part kümmert der sich selber. Kannst du denn die Oberfläche der SBS-CA aufrufen? Zitieren Link zu diesem Kommentar
derandi 10 Geschrieben 7. März 2019 Autor Melden Teilen Geschrieben 7. März 2019 Hi, ja habs gemerkt. Ja die Oberfläche kann ich über Verwaltung->Zertifizierungsstelle aufrufen. Der Dienst läuft. HAb den Dienst auch Neustarten können. ICh gehe dann auf Alle AUfgaben -> Neue ANforderung einrreichen. Dann passiert nichts. Kein Fehler. Unter "Ausstehende Anforderungen" steht nichts. Auf bei den "Fehlgeschlagenen Anforderungen" steht nichts. Zitieren Link zu diesem Kommentar
derandi 10 Geschrieben 8. März 2019 Autor Melden Teilen Geschrieben 8. März 2019 Guten Morgen, habe das Problem gelöst bekommen. Ein bisschen anders wie ursprünglich gedacht. Ich habe mir mit OpenSSL (Linux) ein eigenes Zertifikat erstellt. openssl req -new -days 999 -newkey rsa:4096bits -sha512 -x509 -nodes -out server.crt -keyout server.key (!!Hier muss der FQDN vom Exchange drin stehen!!) Mit diesem Profil werden zwei Dateien ausgegeben "server.crt" und "server.key" (Namen sind variabel). Für den Import am Exchange muss aus diesen beiden Dateien eine *.pfx gemacht werden -> "openssl pkcs12 -export -out exchangezertifikat.pfx -inkey server.key -in server.crt" Die *.pfx Datei kann dann im Exchange importiert werden. Die Clients werden dann natürlich immernoch meckern, dass die CA nicht vertrauenswürdig ist. Ich habe die *.crt dann via GPO als Vertrauenswürdigs Stammzertifikat verteilt. Fehler behoben! Vielen Dank für eure Unterstützung! Viele Grüße Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Das ginge per Powershell aber deutlich schneller sich ein selfsigned Zertifikat an dem exchange zu knoten. :/ Zitieren Link zu diesem Kommentar
derandi 10 Geschrieben 8. März 2019 Autor Melden Teilen Geschrieben 8. März 2019 Das hätte mir ja dann mal jemand hier schreiben können Kann ich via Powershell auch ein Zertifikat erstellen? Zitieren Link zu diesem Kommentar
testperson 1.529 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Jetzt mal ganz ehrlich, du doktorst seit mindestens Mittwoch an dem Zertifikat rum. Wäre es nicht deutlich schneller, einfacher, günstiger, besser gewesen, sich einfach für 69€ - 89€ ein SAN-Zertifikat zu kaufen und den Exchange nach Best Practice zu konfigurieren?! Vor allem, wenn dann ein self signed Zertifikat die "Lösung" ist. Zitieren Link zu diesem Kommentar
tesso 360 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Du hast eine eigene PKI und erstellst ein selfsigned Zertifikat. Wenn das die "Lösung" ist hätte ich gerne das Problem wieder. Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 (bearbeitet) Warum sollte man bei Vorhandensein einer ca denn einen selfsigned Hinweis geben? Kann ja niemand wissen, dass du mit billigen workarounds leben kannst. bearbeitet 8. März 2019 von NorbertFe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.