HarryGhersack 1 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 Hallöle,  ich hĂ€tte da zwei Fragen bezĂŒglich SSL Zertifikate  1) Ich habe vor einem Jahr einen Test-Exchange Server in Betrieb genommen, den ich auch mit einem entsprechendem SSL Zertifikat ausgestattet habe (mail.domain.com & autodiscover.domain.com) Dieses lĂ€uft jetzt aus und ich möchte das Ganze um ein weiteres Jahr verlĂ€ngern, allerdings von einem anderem Anbieter. Kann ich da einfach den CSR Request nehmen, den ich vor einem Jahr generiert habe ? Den kann ich nĂ€mlich in dem Portal unter CSR-Datei einsehen.  2) Den Exchange CSR Request habe ich damals aus dem Exchange Admincenter gemacht. Jetzt möchte ich aber noch zwei weitere SSL Zertifikate. Zum einem fĂŒr mein RD-Gateway und fĂŒr ein NAS. Da ich jetzt nicht der Linux Crack bin, wĂŒrde ich die Requests gerne ĂŒber den IIS erstellen. Sprich IIS starten --> Serverzertifikate --> Anforderung erstellen. WĂ€re der korrekte Weg, oder ?  Viele GrĂŒĂe Harry
NorbertFe 2.290 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 vor 4 Minuten schrieb HarryGhersack: Kann ich da einfach den CSR Request nehmen, den ich vor einem Jahr generiert habe ? Den kann ich nĂ€mlich in dem Portal unter CSR-Datei einsehen.  Kann man, wĂŒrde ich aber nicht unbedingt tun. Einen neuen CSR zu generieren geht meiner Meinung nach am einfachsten so in der Exchange Powershell (auch fĂŒr deinen zweiten Punkt nutzbar) Set-Content -path "c:\temp\mail_domain_com.txt" -Value (New-ExchangeCertificate -FriendlyName Exchange2022 -GenerateRequest -KeySize 2048 -SubjectName "c=DE, s=, l=Entenhausen, o=DeineFirma, ou=IT, cn=mail.domain.com" -DomainName autodiscover.domain.com mail.domain.com -PrivateKeyExportable $True) https://www.digicert.com/easy-csr/exchange2010.htm  Pfade und Namen natĂŒrlich anpassen. 1
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Geschrieben 10. Januar 2022 Dank Dir, dann versuch ich mal mein GlĂŒck ;)  Aber der VollstĂ€ndigkeitshalber, per IIS wĂŒrde das auch gehen, richtig ?
NorbertFe 2.290 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 Nein im iis kann man afair keinen san angeben. Aber per mmc gehts auch.
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Geschrieben 10. Januar 2022 Du meinst wegen mail.domain.com und autdiscover.domain.com ? Den IIS hatte ich nur auf die beiden anderen bezogen, also ts01.domain.com & nas.domain.com. Das wÀren ja zwei einzelne Zertifikate, welche dann keine alternative Namen haben Oder verstehe ich das falsch ?
NorbertFe 2.290 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 Korrekt, da fĂŒgt das dann automatisch die Zertifizierungsstelle ein. Aber unabhĂ€ngig davon, warum machst du es nicht einfach wie mit dem Exchange? Dann vergiĂt du nicht wie es geht :p
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Geschrieben 10. Januar 2022 Anfangs dachte ich ja ich wĂŒrde da einfach den "alten" csr nehmen aber dann werde ich das auf jeden Fall so probieren. Â
NorbertFe 2.290 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 Kann man machen, aber dann musst du das neue Zertifikat an den alten Key binden. Das geht unter Windows zwar auch, ist aber "fehleranfÀlliger", als einfach neu zu beantragen.
tesso 387 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 Du kannst den csr im Exchange Admin Center erstellen.
HarryGhersack 1 Geschrieben 10. Januar 2022 Autor Melden Geschrieben 10. Januar 2022 Doch nochmal eine Frage...  Hab mir gerade das Zertifikat angesehen, welches gerade auslĂ€uft. Hier steht SAN im Paketpreis enthalten: Hauptdomain +3 Könnte ich also das eine auch fĂŒr alle meine Dienste nehmen ? Also: mail.domain.com autodiscover.domain.com ts01.domain.com nas.domain.com  Oder gibt es hier Unterschiede zu den einzelnen Diensten, weil das eine Exchange ist, das andere ein RD-Gateway und das andere ein NAS Webzugriff etc ? In Deinem Code heiĂt es ja auch: New-ExchangeCertificate -FriendlyName Exchange2022 Also gibt es da doch dann Unterschiede, oder ?
NorbertFe 2.290 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 vor einer Stunde schrieb HarryGhersack: Den Exchange CSR Request habe ich damals aus dem Exchange Admincenter gemacht.  vor 2 Minuten schrieb tesso: Du kannst den csr im Exchange Admin Center erstellen. Das weiĂ er und hat er auch. :) Aber auch dabei wird eben ein NEUER CSR generiert. Und ganz ehrlich, per Powershell gehts einfacher und schneller als per GUI in dem Fall. vor 1 Minute schrieb HarryGhersack: Doch nochmal eine Frage...  Hab mir gerade das Zertifikat angesehen, welches gerade auslĂ€uft. Hier steht SAN im Paketpreis enthalten: Hauptdomain +3 Könnte ich also das eine auch fĂŒr alle meine Dienste nehmen ? Also: mail.domain.com autodiscover.domain.com ts01.domain.com nas.domain.com  Oder gibt es hier Unterschiede zu den einzelnen Diensten, weil das eine Exchange ist, das andere ein RD-Gateway und das andere ein NAS Webzugriff etc ? In Deinem Code heiĂt es ja auch: New-ExchangeCertificate -FriendlyName Exchange2022 Also gibt es da doch dann Unterschiede, oder ? Könnte man machen. Hat den Vorteil, dass man nur ein Zertifikat hat. Hat den Nachteil, dass man nur ein Zertifikat hat. LĂ€uft alles zum selben Datum ab, hat alles den selben private Key. Organisatorisch und sicherheitstechnisch spricht also viel fĂŒr "nicht das selbe Zertifikat" auf verschiedenen Servern nutzen.
daabm 1.434 Geschrieben 10. Januar 2022 Melden Geschrieben 10. Januar 2022 Ich wĂ€re bei Norbert - es heiĂt ja nicht umsonst "Subject" Alternate Name und nicht "Host" Alternate Name Auch wenn es genĂŒgend gibt, die mit randalierenden Wildcard-Zertifikaten arbeiten (bis vor kurzem wuĂte ich noch nicht, daĂ ein SAN nicht nur ein Hostname oder "einfache Wildcard" sein kann, sondern RegEx... )
HarryGhersack 1 Geschrieben 12. Januar 2022 Autor Melden Geschrieben 12. Januar 2022 Naja... Hab mich jetzt fĂŒr ein Zertifikat mit den verschiedenen SAN's entschieden und das Zertifikat bereits gekauft...  Jetzt habe ich beim Import allerdings noch eine Frage. Ich habe die Zertifikate heruntergeladen (certificate.crt, intermediate1.crt & root.crt) aber wenn ich die irgendwo hinterlegen will, benötige ich immer den Privaten SchlĂŒssel. Wie komme ich an den oder an eine .key Datei ?  Â
NorbertFe 2.290 Geschrieben 12. Januar 2022 Melden Geschrieben 12. Januar 2022 vor 19 Minuten schrieb HarryGhersack: benötige ich immer den Privaten SchlĂŒssel. Ja logisch. Der liegt da, wo du den CSR angelegt hast im Key-Store. Und wenn du es per Powershell wie oben dargestellt erledigt hast, kannst du das Zertifikat von diesem Server inklusive private Key exportieren. ;) Das Prinzip mit Zertifikaten ist echt technisch viel einfacher, als sich das die meisten vorstellen.
HarryGhersack 1 Geschrieben 12. Januar 2022 Autor Melden Geschrieben 12. Januar 2022 Ok verstehe, also halb ^^ Hab jetzt auf dem Exchange das Zertifikat in eine Datei exportiert und hier konnte ich wĂ€hlen, dass der Private SchlĂŒssel mit exportiert werden soll. DafĂŒr musste ich dann ein Kennwort eingeben, soweit so gut. Im RD Gateway konnte ich das .pfx auswĂ€hlen und mit dem vorher vergebenen Passwort hinterlegen, klappt super. Auf dem NAS habe ich allerdings keine Möglichkeit ein Kennwort einzugeben sondern nur folgende Möglichkeiten: Zertifikat: Privater SchlĂŒssel: Zwischenzertifikat: und halt immer nur die Möglichkeit etwas hochzuladen.  Wie bekomme ich den SchlĂŒssel als key-Datei ?
Empfohlene BeitrÀge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto fĂŒr unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden