Exchange Zertifikat-Verlängerung

1. offizieller Beitrag

    Hallo Forum,


    man hat mich letztens an einen Exchange Server 2010 gesetzt und bei der Einarbeitung haben sich mir einige grundsätzliche Fragen gestellt:
    1. Ist ein Arbeiten mit Outlook immer möglich, auch wenn die Exchange Zertifikate abgelaufen sind? (Kann ich durch eine Fehlkonfig bei der Zertifikatserstellung die Kommunikation zwischen Outlook und Exchange zerstören?)
    2. Kann ich bei der Verlängerung irgendwelche verheerenden Fehler machen?
    3. Muss im Anschluss das Zertifikat über die Zertifizierungsstelle verteilt werden? (Wie wird es standardmäßig verteilt?)


    Ich habe das bis jetzt so verstanden, dass ich das Serverzertifkat verlängere , exportiere und dann verteile auf die Clients.


    Sind bestimmt dumme Fragen :/ , aber so richtig habe ich diesen Part von Exchange nicht verstanden bzw. bin sehr unsicher.


    Vielleicht gibt mir jemand einen Tipp, Vielen Dank !

    • Offizieller Beitrag

    1. Ein abgelaufendes Zertifikat verhindert zuverlässig den Zugriff per Outlook Anywhere und auf Exchange Webservices (bspw. notwendig für Free/Busy Informationen und Abwesenheitsassistent)
    2. Nö eigentlich nicht. Wenns nicht geht, kann mans ja korrigieren.
    3. Man fordert im Exchange (bspw. per Powershell) das Zertifikat an, reicht den CSR an eine Zertifizierungsstelle ein und gibt das signierte Zertifikat im Exchange zum Abschluß der Zertifizierungsanforderung. Danach noch die Dienste aktivieren für dieses Zertifikat. Fertig.


    Du verteilst überhaupt nichts an die Clients. Ausser es ist ein selfsigned Zertifikat, dann muß der public Key an die Clients verteilt werden, weils eben keine Root-CA gibt. Das sollte man im Normalfall überhaupt nicht nutzen, da es dafür keinen Support gibt. Kann funktionieren, muß aber nicht.


    Bye
    Norbert

    Besten Dank Norbert für die schnelle Antwort.


    Zu 1. das trifft aber dann nur auf Outlook Anywhere zu? ( mac und alle die kein Domeinenmitglied sind bzw. übers freie Internet)
    Was ist mit den Rechnern im Standort und Domainenmitglied ? Könnten die bei Fehlkonfig problemlos weiter mails Senden und Empfangen?
    Zu 3. das ist genau das, was ich nicht so ganz verstehe. Ich gehe über Exchange Zertifikat verlängern und im Anschluss reiche ich es in der Zertifizierungstelle ein? Dienste aktivieren?
    Mir fällt in dieser Firma auch immer der Zertifikatsfehler: Der Name auf dem Sicherheitszertifikat... (Geht das Problem mit einem gekauften SSL Zertifikat zu umgehen?)


    Wäre super, wenn du mir nochmal auf die Sprünge hilfst.

    Einmal editiert, zuletzt von Frank-le () aus folgendem Grund: das Sicherheitszertifikat wurde von einer Firma ausgestellt...

    • Offizieller Beitrag

    Ein Mac mit Outlook greift per EWS zu. Keine Ahnung wie der reagiert, wenn das Zertifikat abgelaufen ist. Wahrscheinlich funktionierts dann auch nicht. Auch sonst für Active Sync (Mac Mail und iOS) dürfte das wahrscheinlich schwierig werden. Aber hab ich nicht getestet, weil ich mein Zertifikat nicht ablaufen lasse. ;) Outlook für Windows kann bei Exchange 2010 auch mittels Mapi/RPC arbeiten, was bei deiner Konfiguration wahrscheinlich sogar der Fall sein düfte. Da merkt man das Zertifikat nur gelegentlich bei Free/Busy Abfragen Abwesenheitsassistent und ab und an bei Autodiscover Vorgängen. Der Fehler den du siehst bekommt man weg, sinnvollerweise mit einem gekauften Zertifikat. Damit das sinnvoll funktionieren kann, muß dein Zertifikat zwei Namen beinhalten (einen den die Clients ansprechen und den du dir selbst "ausdenken" kannst, und autodiscover.deineexternedomain.tld). Natürlich muß die Konfiguration dann entsprechend angepaßt werden.