Wildcard Zert optimal nutzen

Hallo Leute,

wir haben ein Wildcard Zert von Thawte und versuchen damit am Exchange/2008 zurecht zukommen.
Wir hatten vorher nur ein selbstsigniertes und haben immer noch unterschiedliche namen intern und extern.
Beim IIS gab es mit dem Zert keine Probleme aber bei den Exchange services lies sich nur der SMTP dienst mit der Wildcard betanken.
Die anderen Dienste POP/IMAP/UM laufen noch mit dem alten abgelaufenen Zert. also totales durcheinander...
Ich stelle mir die Frage ob ich nicht einfach aus diesem Zert ein single machen kann host.domain.de oder wie ich dieses Zert vernünftig einbinden kann.

Auch beim Radius wo ich gerne mit WLAN 802.11x machen würde meckern die clients, dass der Servername nicht angegeben wurde.
Weil *.domain.de steht.
Was ein scheiß ?
ist das normal ? ich bin vom dem Wildcard Zert schwer enttäuscht.
Für Webserver farmen mit vielen Subdomains sicherlich interessant aber im Windows/Exchange einzubinden eine riesen kathastrophe.

Danke für eure Meinung.

Gruß,
uLmi

Naja die genaue Fehlermeldung hab ich nicht mehr im kopf.
Die war meldung war auf jeden Nichtssagend so nach dem motto:
konnte altes zert (stamp) nicht mit dem neuen zert (stamp) ersetzten.

Naja ich warte mal ab vielleicht kommen noch andere informationen.

Ich habe mir PowerGui installiert um mit dem Zerts besser arbeiten zu können aber während der Arbeitszeit bastel ich eh nicht an den Zerts rum.

Gruß,
uLmi

Hallo Cupsuel,

ich habe leider kein SAN Zert sondern eine Wildcard.
Natürlich kaufe ich eine SAN wenn es sein muss aber ich will natürlich erstmal ausschöpfen was ich habe bzw. genau feststellen ob das Wildcard Zert vollständig Exchange kompatible ist oder nicht.

Wenn ich mir ein SAN Zert anschaffen möchte muss ich doch bei anschaffung auf diese sachen achten:

?mail.domain.tld (für MX-Record, SMTP, POP3, IMAP, OWA, Exchange ActiveSync)
?autodiscover.domain.tld (Autodiscover Service)
?srvname.internaldomain.tld (Exchange CAServer FQDN)
?srvname (Exchange CAServer NetBIOS Name)

und fettig oder ?

bitte weiterhin um information zu Wildcard mit Exchange ?
hat das schon jemand hinbekommen ?

Viele Grüße,
uLmi

Update:

Ich habe noch folgende info gefunden:

"In Exchange 2007 RTM, there are two major exceptions in the certificate selection processes for POP3 and IMAP4. Certificates issued by a trusted CA are not preferred over self-signed certificates. Instead, Exchange 2007 selects the newest certificate. Also, in Exchange 2007 RTM, POP3 and IMAP4 do not support wildcard domains on certificates. This means that if the X509CertificateName attribute is set to mail.fourthcoffee.com for either the POP3 settings or IMAP4 settings, Exchange 2007 will not support a certificate that only contains *.fourthcoffee.com as a certificate domain."

Although I think you should be able to use a wildcard cert in SP1 based on what it says in the rest of the document, but I'm not really sure. The fact that my wildcard cert has an older issue date than the auto generated self signed cert may also be causing the issue.

Also saw that a very similar problem is supposedly fixed in Update Rollup 4 (http://support.microsoft.com/kb/948896/) which is installed, but I'm not getting any event log error messages, just the message when I try to enable the cert. I'm pretty sure this is a bug at this point that is not really fixed.

Wenn ich:

C:\Windows\system32>Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXFC3 -Services POP, IMAP

in die Exchange-shell baller, kommt:

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem FQDN von '*.domain.de' verwendet, weil das
selbstsignierte Zertifikat mit dem Fingerabdruck 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXFC3' den Vorrang übernimmt. Die folgenden
Connectors stimmen mit dem betreffenden FQDN überein: POP3.
WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem FQDN von '*.domain.de' verwendet, weil das
selbstsignierte Zertifikat mit dem Fingerabdruck 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXFC3' den Vorrang übernimmt. Die folgenden
Connectors stimmen mit dem betreffenden FQDN überein: IMAP4.

Ich denke ich laufe genau auf diese Problem und das ein anderes selbst-signiertes aber abgelaufen Zert vorrang hat.
Dieses Zert ist dazu auch noch vom FQDN her genau richtig aber halt nicht trusted

Argh.

Momentan habe ich folgende Zerts drin:

Services Subject
-------- -------
...WS CN=*.domain.de,
....S CN=srv01
IP... CN=mail.domain.de
....S CN=srv01

Alle bis auf das erste sind abgelaufen und selbst signiert.

Ich habe jetzt schon genug Zeit verballert und für das geld hätte ich sicherlich schon ein Zert kaufen können aber was mich halt noch stört, ist das ich nicht flexibel bin.
Ich stehe kurz vor einer größeren Server umstellung, will das WLAN vorher mit Zertifikaten zum laufen bekommen und vielleicht später die Server anders nummerieren.

Klar der Externe Name wird ja bleiben. Also mail.domain.de und autodiscover.domain.de aber bei nem SAN was ich jetzt favorisiere muss ich ja auch die internen Namen angeben und genau diese möchte ich vielleicht nicht so belassen wenn ich die Server struktur einmal grob anfasse.

Auf der anderen Seite bietet die starre lösung auch die sicherheit die im Internet erwartet wird.

Manno, warum kann der Exchange nicht einfach Wildcard

hier ist eine geil übersetzte Lösung von MS (die ich nicht verstehe):

Laden Sie Updaterollup 4 für Exchange 2007 Service Pack 1, um dieses Problem zu beheben. Weitere Informationen zu Updaterollup 4 für Exchange Server 2007 Service Pack 1 finden Sie in das folgende Exchange-Hilfethema:
Description of Update Rollup 4 for Exchange Server 2007 Service Pack 1 (http://go.microsoft.com/fwlink/?LinkId=152556)
Weitere Informationen zum Beziehen des neuesten Service Packs oder update-Rollup finden Sie in das folgende Exchange-Hilfethema:
How to Obtain the Latest Service Pack or Update Rollup for Exchange 2007 (http://go.microsoft.com/fwlink/?LinkId=152570)
Nachdem Sie dieses Softwareupdate angewendet haben, werden das Cmdlet ' Enable-ExchangeCertificate und das New-ExchangeCertificate -Cmdlet nicht den X509CertificateName -Parameter festgelegt. Der X509CertificateName -Parameter wird durch Entfernen von POP und IMAP als gültige Werte aus dem Parameter - Dienste festgelegt.

Um Administratoren zu erleichtern, zeigt das Cmdlet eine Warnung, die der folgenden ähnelt:
POP3 bzw. IMAP4 Zugriff möglicherweise nicht funktionieren, da dieser Befehl nicht die X509CertificateName für die Dienste POP3 und IMAP4 festlegt. Vervollständigen Sie die Konfiguration für jeden Dienst durch Ausführen von "Set-POPSettings-X509CertificateName < Der FQDN, der POP Clients verbindung-Server verwendet werden >" für POP3-Dienst und “ Satz-IMAPSettings-X509CertificateName < Der FQDN, mit dem POP-Clients auf Server verbinden > eingeben für IMAP4-Dienst.
Darüber hinaus das Cmdlet „ Set-IMAPSettings und der X509CertificateName -Parameter für die Set-POPSetings -Cmdlet akzeptieren keine Platzhalterzeichen.
Zum Anfang

Für Exchange 2010 gibt es folgende Lösung:

And the answer is...

Don't use the asterisk, use the actual FQDN name with the cmdlet.

The confusion arises when you try to assign the cert via the EMC and it produces code which utilizes the subject name of the cert. The subject name uses the asterisk aka *.yourdomain.com. Ignore everything you just saw the EMC produce, and apply the cert via the EMS for IMAP/POP3:

Eg:

Set-ImapSettings -Server Exchange2010 -X509CertificateName imap.yourdomain.com