Hi,
entschuldigt bitte das ich mich hier an diese Beiträge mit ranhänge. Ich habe ein Ähnliches Problem wie der Ersteller dieses Freds... Allerdings bin ich mir unsicher wie ich die Lösung umsetzen soll, insbesondere weil ich ein absoluter Noob in Sachen Zertifikate und Zertifizierungsstellen bin. Hoffentlich könnt ihr mir helfen:
Ausgangssituation:
1. Exchange 2007 Server (SP2) mit allen Rollen: exchange.intern.local
2. Exchange 2007 Server mit der CAS Rolle: owa.intern.local
3. Eine Unternehmenszertifizierungsstelle auf dem Server: wds.intern.local
Der OWA ist bei uns "doppelt". Der interne OWA auf exchange.intern.local dient für den internen Zugriff und ist von extern nicht erreichbar. Der Server owa.intern.local ist vom Internet aus über https://owa.extern.tld/owa erreichbar.
An der internen Unternehmenszertifizierungsstelle auf Server wds.intern.local wurde ein Stammzertifikat für die interne Zertifizierungsstelle an alle Rechner in der Domain ausgegeben damit diese den eigenen Zertifikaten vertrauen können.
Mit diesen Voraussetzungen wurden ursprünglich zwei Zertifikate erstellt. Ein Zertifikat für exchange.intern.local und ein Zertifikat für owa.internen.local mit dem Ergebnis das bei Outlook 2007 zu Anfang 4 Meldungen erscheinen das die Zertifikate nicht gültig sein, abwechseln zwischen owa.intern.local und exchange.intern.local.
Bisher hat dieser Zustand nicht gestört, da ausschliesslich Outlook 2003 eingesetzt wurde. Lediglich unsere Mac-User mit Entourage 2008 hatten darunter zu "leiden" und dort funktionierte dann auch der Abwesenheitsassistent von Entourage 2008 nicht (angeblich steht der Server nicht zur Verfügung, so die Meldung).
Da jetzt komplett auf Office 2007 und damit auch auf Outlook 2007 umgestellt werden soll, muß dieses Zertifikatsdurcheinander endlich gelöst werden. Ein offizielles SAN Zertifikat ist aus meinem Verständnis heraus nicht notwendig und deswegen würde ich gerne ein eigenes erstellen.
Nachdem was ich bisher gelesen habe, würde ich wie folgt vorgehen:
1. An der internen Zertifizierungsstelle die beiden Zertifikate exchange.intern.local und owa.intern.local sperren.
2. In der Verwaltungsshell von Exchange 2007 würde ich einen Zertifikatsrequest erstellen:
New-ExchangeCertificate `
-GenerateRequest `
-IncludeAcceptedDomains `
-IncludeAutoDiscover `
-SubjectName "c=DE, o=Firma, cn=exchange.intern.local" `
-privatekeyexportable $true `
-domainName exchange, exchange.intern.local, owa, owa.intern.local, owa.extern.tld, autodiscover.intern.local `
-Services "SMTP, IMAP, POP, UM, IIS"
-Path c:\exchange_intern_local.req
3. Das generierte File mit dem Request reiche ich an der Unternehmenszertifizierungsstelle über das Webfrontend ein.
4. Das von der Unternehmenszertifizierungsstelle erstellte Zertifikat wird dann an der Exchange Verwaltungsshell importiert:
Import-ExchangeCertificate -Path c:\exchange_intern_local.cer
5. Das soeben importierte Zertifikat muß eingeschaltet werden:
enable-exchangecertificate -thumbnail 1234567890 -services "IIS"
Wäre das so richtig oder habe ich etwas vergessen oder vollkommen falsch gemacht? Sollte ich das nicht auf die Reihe kriegen, gibt es hier vielleicht jemanden der mir direkt auf den Servern helfen könnte diese Probleme zu lösen? (natürlich gegen Bezahlung)
Viele Grüße,
Marcus