Erstellung SAN Zertifikat für Exchange 2007

TurinTurambar · 30. Mai 2008

Hallo zusammen,

ich habe einen Exchange 2007 CCR Cluster und zwei HUB/CAS Server die im NLB arbeiten.
Ich wollte jetzt gemäss folgender Anleitung das SAN Zertifikat erstellen:
http://www.msexchange.org/arti…ork-technology-part3.html

Ich hänge jetzt an dem Teil an dem ich die Zertifikatsanforderung in meine eigenständige Root CA importieren muss.
Es wird folgender Fehler angezeigt:

Your certificate request was denied.

Your Request Id is 0. The disposition message is "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439)".

Hat jemand von euch eine Idee wo der Fehler liegt oder evtl. einen anderen Lösungsansatz, so dass ich das zum laufen bekomme?

Vielen Dank für eure Hilfe.

Grüsse
Fjoerdman

Jürgen · 30. Mai 2008

Hallo,

schau mal hier:

312344 Request for Certificate Is Denied and a "The Request Subject Name Is Invalid or Too Long" Error Message Occurs
http://support.microsoft.com/d…aspx?scid=kb;EN-US;312344

275528 Windows Server 2003 Does Not Use the DNS Name as Certificate Subject
http://support.microsoft.com/d…aspx?scid=kb;EN-US;275528

evtl. ist da was für dich dabei.

TurinTurambar · 6. Juni 2008

Hallo,

also wenn ich das richtig verstehe passt da etwas nicht mit dem Subject Name in Verbindung mit der CA, aber ich verstehe ehrlich gesagt meinen Fehler nicht?!?
Wie müsste denn der Subject Name lauten, so dass er zur CA passt, so dass ich das Zertifikat einreichen kann?
Im Anhang habe ich noch die Fehlermeldung von der CA hinterlegt.
Vielen Dank für eure Hilfe, denn ich verstehe wirklich nicht wo mein Fehler ist.

Grüsse,
Turin

New-ExchangeCertificate -GenerateRequest -SubjectName ?C=net, O=contoso organization, CN=owa.contoso.local? -DomainName owa.contoso.local, autodiscover.contoso.com, hub1.contoso.com, hub2.contoso.com -FriendlyName ?Contoso SAN Certificate? -KeySize 1024 -Path c:\CAS_SAN_cert.req -PrivateKeyExportable:$true

ernie04 · 8. Juni 2008

Mal so 'ne Frage: Was hast Du denn für eine CA, an die Du die Anfrage sendest? Standard oder Enterprise?

Wie lang ist denn der DNS Domain Name bei Deiner Anfrage? Laut http://support.microsoft.com/kb/275528/en-us sind ja nicht mehr als 64 Zeichen erlaubt.

Wenn Du eine Enterprise CA hast, könntest Du versuchen, das Template anzupassen und dann schauen, ob es dann klappt, das Zertifikat zu erstellen.

Gruss,
Stephan

TurinTurambar · 8. Juni 2008

Hallo,

ich habe eine eigenständige Stammzertifizierungsstelle, was meinst du mit Standard oder Enterprise?

Leider verstehe ich nicht ganz was du meinst mit "wie lange der DNS Domain Name bei der Anfrage sein soll"?

Meinst du, dass ich das Webserver Template anpassen sollte? Wenn ja, stellt sich mir die Frage in welcher Form ich das Template anpassen sollte?

Fragen über Fragen, vielen Dank für eure Hilfe

Grüsse,
Turin

TurinTurambar · 11. Juni 2008

Hallo zusammen,

ich habe es jetzt doch hinbekommen.
Der Befehl muss wie folgt abgesetzt werden:

New-ExchangeCertificate -GenerateRequest -DomainName owa.contoso.local, autodiscover.contoso.com, hub1.contoso.com, hub2.contoso.com -FriendlyName ?Contoso SAN Certificate? -KeySize 1024 -Path c:\CAS_SAN_cert.req -PrivateKeyExportable:$true

Grüsse,
Turin

Teilen