Frage zu Zertifikaten

1. offizieller Beitrag

    Guten Tag, ich habe eine Frage zu Zertifikaten. Bisher hab ich mich damit noch wenig auseinandergesetzt und muss gestehen das ich damit auch noch Verständnissprobleme habe.
    Ich bin dabei Exchange 2003 auf Exchange 2007 zu migrieren, unter anderem möchte ich auch weiterhin OWA nutzen. Ich habe auf dem ISA Server einen Weblistener laufen mit einem Zertifikat, das hat bisher auch alles Problemlos geklappt. Kann ich für die Umstellung auf OWA 2007 das gleiche Zertifikat weiterverwenden? Oder muss ich mir jetzt von dem Exchange 2007 ein neues ausstellen lassen?


    Danke,
    Dieter

    • Offizieller Beitrag

    Hallo,


    Du kannst das gleiche Zertifikat auch in Exchange 2007 verwenden. Exportiere es inklusive privaten Schlüssel und importiere es über die EMS (import-exchangecertificate) auf den Rechner, wo die Rolle CAS installiert ist.


    Danach musst Du das Zertifikat noch einschalten (enable-exchangecertificate).


    Wenn Du den privaten Schlüssel nicht exportieren kannst (weil bei der Erstellung diese Funktion verweigert wurde), dann musst Du ein neues Zertifikat erzeugen.

    Hallo Robert, danke für Deine Antwort.
    Bei "enable-exchangecertificate" muß ich als Service "iis" angeben, sehe ich das richtig?


    Grüße aus Essen,
    Dieter

    Nachdem ich das gemacht habe, krieg ich an den "normalen" Outlook Clients eine Zertifikatsfehlermeldung das der Servername auf dem Zertifikat nicht stimmt. Wenn ich mir das Zertifikat ansehe steht da owa.meinefirma.com drin. Was hab ich nu falsch gemacht?
    Kann mir jemand ein gutes Buch zu dem Zertifikatsgedöhns empfehlen? Ich blick da irgendwie nicht durch und möchte da schon was lernen.
    Danke,
    Dieter

    • Offizieller Beitrag

    Du hast nichts falsch gemacht, dass ist das normale Verhalten. Auch Outlook benutzt (teilweise) HTTPS und daher das gleiche Zertifikat.


    Lies Dir mal das hier durch:
    http://www.server-talk.eu/2008…-single-name-certificate/


    Du musst nun noch Deinen DNS anpassen, damit die Clients keine Fehlermeldung mehr bringen.


    Ein gutes Buch zum Thema PKI ist das hier: http://www.amazon.de/Microsoft…oks&qid=1254052007&sr=8-1


    Allerdings wird dort nichts über Exchange gesagt.

    Hallo Robert, Danke für den Buchtipp.


    Ich habe auch Deinen Tipp von http://www.server-talk.eu/2008/11/09/ ... -single-name-certificate/ durchgelesen und diesen DNS Eintrag gemacht, hat leider nichts gebracht, ich denke das hängt damit zusammen das meine Owa Adresse owa.meinefirma.com heißt, der interne Autodiscover Server (den ich beim DNS Eintrag "host offering this Service angegeben habe) aber servername.meinefirma.local heißt. Ich denke daran hapert es. Langsam verzweifle ich an dem sch....


    Trotzdem Danke für die Hilfe,


    Dieter

    • Offizieller Beitrag

    Hallo Dieter


    Wenn du ein Zertifikat für Exchange Server 2007 installierst, dann hast du 2 Möglichkeiten:


    1) Unterschiedliche Namen = SAN Certificate (Default)
    2) Immer der gleiche Name = Single-Name Certificate


    So wie ich aus dem Thread entnehmen kann, hast du Weg 2 eingeschlagen.In diesem Fall müssen sämtliche Web Services für owa.meinefirma.com/... konfiguriert werden - also auf den Namen auf den das Zertifikat ausgestellt wurde.


    Dies beinhaltet -InternalUrl und -ExternalUrl für:
    Set-ClientAccessServer
    Set-AutoDiscoverVirtualDirectory
    Set-OabVirtualDirectory
    Set-OwaVirtualDirectory
    Set-WebServicesVirtualDirectory


    Set-ActiveSyncVirtualDirectory
    Enable-OutlookAnywhere
    Set-OutlookProvider


    Gruss
    Michel

    Hi


    habe dasselbe Problem. Wie setze ich denn diese ganzen werte auf die .meinefirma.de adresse statt der .meinefirma.local??


    Ich nehme mal an in der verwaltungsshell für exchange oder?

    • Offizieller Beitrag

    Hi


    Mit der Exchange Management Console kannst du einige Werte für Client Access konfigurieren. Den Rest muss du über die EMS machen:


    Dies beinhaltet -InternalUrl und -ExternalUrl für:
    Set-ClientAccessServer
    Set-AutoDiscoverVirtualDirectory
    Set-OabVirtualDirectory
    Set-OwaVirtualDirectory
    Set-WebServicesVirtualDirectory


    Set-ActiveSyncVirtualDirectory
    Enable-OutlookAnywhere
    Set-OutlookProvider


    Die genauen Parameter zum cmdlet stehen bei TechNet (oder im Forum, via Suche) :-x


    Gruss
    Michel