UCC Frage

1. offizieller Beitrag

    Hallo,


    ich habe eine kleine Verständnisfrage zu den Exchange Zertifikaten:


    Ich versuche gerade, OWA/OMA zum Laufen zu bekommen und habe mit dem Exchange Zertifikatsassistent eine entsprechende .req-Datei erstellt. Nun steht am Ende des Assistenten, daß ich mit dem Request ein Unified Communications Zertifikat beantragen soll. Muß ich hierfür einen öffentlichen Anbieter nehmen oder kann ich ein solches auch mit einer internen CA hinbekommen?


    Eine Standalone Root CA und eine Subordinate Issuing CA habe ich.


    Ich brauche das Zertifikat im Endeffekt für den Forefront TMG.


    Gruß,
    Florian

    Hi Robert,


    danke für die Antwort. Ich werde sowieso nur mit Geräten per OWA/OMA auf den Exchange Server zugreifen, die in der Domäne sind. Somit dürfte es keine Warnungen geben.


    Muß ich denn für dieses Unified Communication Zertifikat die Unified Messaging Rolle auf dem Exchange installieren? Wenn ich versuche, den Request auf der CA zu bearbeiten, tut sich gar nichts - keine Fehlermeldung, keine Erfolgsmeldung. Als Zertifikatsvorlagen stehen nur Webserver, DC und EFS zur Verfügung.


    Und im weiteren Schritt: Falls ich das Zertifikat endlichmal ausgestellt haben sollte, was muß ich dann mit machen, um es im externen Listener auf dem TMG importieren zu können?


    Evtl. ist das schon zu TMG-spezifisch?


    Gruß,
    Florian

    • Offizieller Beitrag
    Zitat


    Frightener schrieb:
    Hi Robert,


    danke für die Antwort. Ich werde sowieso nur mit Geräten per OWA/OMA auf den Exchange Server zugreifen, die in der Domäne sind. Somit dürfte es keine Warnungen geben.


    OMA gibts eh nicht mehr, und wie du dein Handy in die Domain bekommst, würd ich gern sehen. ;)



    Zitat

    Muß ich denn für dieses Unified Communication Zertifikat die Unified Messaging Rolle auf dem Exchange installieren?


    Nein, natürlich nicht.
    Hast du dir zum Thema mal http://www.msxfaq.de angeschaut? Da ist das alles erklärt.


    Zitat

    Und im weiteren Schritt: Falls ich das Zertifikat endlichmal ausgestellt haben sollte, was muß ich dann mit machen, um es im externen Listener auf dem TMG importieren zu können?


    Man exportiert es am Exchange mit PK und importiert es am TMG.


    Bye
    Norbert

    • Offizieller Beitrag
    Zitat


    danke für die Antwort. Ich werde sowieso nur mit Geräten per OWA/OMA auf den Exchange Server zugreifen, die in der Domäne sind. Somit dürfte es keine Warnungen geben.


    Eventuell musst Du den Geräten das Stammstellenzertifikat importieren, damit sie fehlerfrei funktionieren:


    http://technet.microsoft.com/d…997575%28EXCHG.80%29.aspx


    Zitat


    Muß ich denn für dieses Unified Communication Zertifikat die Unified Messaging Rolle auf dem Exchange installieren?


    Nein.


    Zitat


    Wenn ich versuche, den Request auf der CA zu bearbeiten, tut sich gar nichts - keine Fehlermeldung, keine Erfolgsmeldung. Als Zertifikatsvorlagen stehen nur Webserver, DC und EFS zur Verfügung.


    Schau mal hier, hilft Dir eventuell:
    http://www.msxfaq.de/signcrypt/sancert.htm


    Zitat


    Und im weiteren Schritt: Falls ich das Zertifikat endlichmal ausgestellt haben sollte, was muß ich dann mit machen, um es im externen Listener auf dem TMG importieren zu können?


    Ich bin (noch) kein TMG-Experte, aber so, wie ich MS kenne, wird es einen wunderbaren Assistenten geben, mit dem man der Cert importiert. :)

    Norbert
    Über WLAN verbunden ist es lt. Anleitung möglich, das Handy in die Domäne aufzunehmen.


    Auf msxfaq habe ich auch geschaut. Ich bin mir nur unsicher, was sich in Exchange 2010 ggü. 2007 geändert hat, und was man somit überhaupt anwenden kann/sollte.


    Das hört sich allerdings plausibel an:
    ...Zuerst müssen Sie auf der Zertifizierungsstelle die SAN-Optionen freischalten...
    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2


    Wegen des Imports am TMG: Hierbei liegt ein Problem offensichtlich auch darin, daß der private Schlüssel standardmäßig nicht exportierbar ist, um ihn dort wieder zu importieren. Hier muß ich nochmal schauen, woe man das umstellt.


    Danke schonmal für Eure Hilfe, ich werde mich heute Abend nochmal dransetzen...


    Gruß,
    Florian

    • Offizieller Beitrag
    Zitat


    Auf msxfaq habe ich auch geschaut. Ich bin mir nur unsicher, was sich in Exchange 2010 ggü. 2007 geändert hat, und was man somit überhaupt anwenden kann/sollte.


    Nichts, was Dich interessieren müsste. Zertifikate und die Verwendung von unabhängig von Exchange und 2010 verhält sich wie 2007.



    Zitat


    Das hört sich allerdings plausibel an:
    ...Zuerst müssen Sie auf der Zertifizierungsstelle die SAN-Optionen freischalten...
    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2


    Musst Du aber nur machen, wenn Du keinen Request hast, und das Zertifikat kopmplett in der PKI erzeugen willst.


    Sonst reicht es, den Request als erweiterte Anforderung zu importieren.


    Zitat


    Wegen des Imports am TMG: Hierbei liegt ein Problem offensichtlich auch darin, daß der private Schlüssel standardmäßig nicht exportierbar ist, um ihn dort wieder zu importieren. Hier muß ich nochmal schauen, woe man das umstellt.


    Ohne privaten Schlüssel kann man das Zertifikat definitiv nirgends anders verwenden.


    Ist aber kein Problem, setzt halt einfach bei "new-exchangecertificate" den passenden Schalter (-PrivateKeyExportable $true).


    Wenn Du noch bis nächste Woche Zeit hast, ich habe ein HowTo in Arbeit, da ich auch ein neues Cert brauche. Wird aber erst kommende Woche fertig, da diese Woche noch auswärts unterwegs.

    robert
    Klar hat das Zeit. Danke für Deine Bemühungen.


    Ich bin ja vermutlich auch schon dicht dran. Ich verstehe nur nicht, warum an der CA bei "Submit new Request" nichts passiert, wenn ich die .req-Datei angebe...