Exchange 2010 mit offiziellem SAN Zertifikat betreiben

exchange2010Im Artikel “Exchange 2007 mit offiziellem SAN Zertifikat einrichten” habe wir ja schon beschrieben wie man Exchange 2007 mit einem günstigen offiziellen SAN Zertifikat betreibt. Jetzt ist Exchange 2010 offiziell verfügbar und da wird es Zeit diese Information auch für dieses System bereitzustellen. Vorweg: es ist einfacher geworden. Zur Konfiguration ist nur noch einen Powershell Befehl notwendig und den Rest kann man jetzt GUI basiert erledigen. Aber lesen Sie selber:

Mit Powershell Zertifikatsrequest erzeugen

Wir starten in dem wir auf dem Exchange 2010 Server die “Exchange Management Shell” aufrufen (bitte bit Administratoren Rechten). In ihr erzeugen wir mit dem Powershell CmdLet New-ExchangeCertificate einen Zertifikatsrequest der außer dem Hauptnamen hier “mmas.rachfahl.de” auch noch drei weitere Namen enthalt: “vexchange-1.rachfahl.de” (interner Namen mit ADS Domaine, “vexchange-1” (ohne interne Domaine) und “autodiscovery.rachfahl.de” enthält. Hier der Befehl für unser SAN-Zertifikat:

$ZertifikatReq = New-ExchangeCertificate -GenerateRequest -SubjectName "cn=mmas.rachfahl.de, o=Rachfahl IT-Solutions GmbH u. Co. KG, c=DE" -DomainName mmas.rachfahl.de, vexchange-1.rachfahl.de, vexchange-1, autodiscover.rachfahl.de -PrivateKeyExportable $True

Set-Content -path "C:\mmas.rachfahl.de.req" -Value $ZertifikatReq

Request bei Zertifizieren einreichen

Die erzeugte Datei (in diesem Beispiel “C:\mmas.rachfahl.de.req”)  öffnen wir mit Notepad, kopieren den Inhalt in die Zwischenablage und fügen ihn in das entsprechende Formular bei Ihrem SSL Provider ein (bei uns geschieht das imagenatürlich über unsere Resellerseite des Providers GoDaddy). Wenn der Request akzeptiert wird bekommen Sie bei GoDaddy eine Zusammenfassung des Zertifikats angezeigt. Bitte prüfen Sie hier alle Angaben noch einmal. Nach der Bestätigung versucht nun GoDaddy die Legalität des Antrags zu prüfen. Dies geschieht in der Regel über eine Mail an den Inhaber der Domain. Wer der Besitzer ist ermittelt GoDaddy aus dem RIP Eintrag der Domaine. Deshalb ist es ganz vorteilhaft vor dem Antrag beim DENIC “www.denic.de” nachzuschauen wer und vorallem welche E-Mail Adresse dort eingetragen ist. An diese E-Mailadresse sendet dann GoDaddy einen Link die dann bestätigt werden muss. Daraufhin wir das angeforderte Zertifikat generiert welches man dann als ZIP Archiv herunterladen kann.

Zwischenzertifizierungsstelle und Zertifikat installieren

imageNach dem Auspacken des Archiv findet man zwei Dateien auf der Platte: das eigentliche Zertifikat und und eine Zwischenzertifizierungsstelle. Die letztere muss man zuerst in den imageZertifikatsspeichern installieren. Hierzu öffnet man die MMC (Microsoft Management Console) und  fügt über “Datei” -> ”Snapin hinzufügen/entfernen” das Zertifikate Snapin für das Computerkonto hinzu (Achtung: hierzu benötigen Sie Administrator Rechte). Jetzt rechtsklicken Sie auf “Zwischenzertifizierungsstelle” und importieren mittels  “Aufgaben” –> “Importieren” die GoDaddy Datei. Danach können wir das eigentliche Zertifikat importieren. Dazu rufen Sie die Exchange-Verwaltungskonsole auf, klicken im linken Fenster auf  “Serverkonfiguration” und wählen dann im mittleren Bereich unter Exchange-Zertifikate ihren Zertifikatsrequest aus. Jetzt klicken Sie im rechten Fenster auf “Ausstehende Anforderung abschließen …” imageund es öffnet sich ein Wizard. Hiermit wählen Sie das Zertifikat aus (vorher stellen sie Dateiauswahlbox auf alle Dateitypen). Die “Exchange Management Console” führt darauf den Import durch. Nach erfolgreichem Import sehen Sie eine ähnliches Fenster wie in unserem Screenshot. In unserem Beispiel wurde das imageZertifikat nur für POP3 und IMAP aktiviert so das wir jetzt noch die Verwendung für SSL einschalten müssen. Dazu wählen wir das Zertifikat aus und klicken dann im rechten Bereich auf “Dem Zertifikat Dienste zuordnen…”.  In dem Wizard wählen wir der Server und können dann im nächsten Fenster die Internetinformationdienste  hinzufügen. Ein Klick auf Fertig und der Exchange Server 2010 verwendet ab jetzt das neue Zertifikat.

Zertifikat testen

Im letzen Schritt sollten Sie die Verwendung des Zertifikats überprüfen. Sie können dies tun in dem Sie entweder die interne Outlook Web Access Seite aufrufen (in unserem Beispiel währe das z.B.: https://vexchange-1/owa ) oder die externe OWA Seite (in unserem Beispiel mit https://mmas.rachfahl.de/owa).

Weitere interessante Informationen zum Thema Exchange 2010 und der Client Access Rolle findet man unter http://technet.microsoft.com/en-us/library/bb310795.aspx.

Teilen:

Carsten Rachfahl

Dipl. Ing. Carsten Rachfahl ist seit mehr als 25 Jahren in der IT-Branche tätig. Er ist einer der geschäftsführenden Gesellschafter der Rachfahl IT-Solutions GmbH & Co. KG und für den technischen Bereich verantwortlich.

19 Kommentare:

  1. Führt folgender Befehl (natürlich nicht mit Beispiel- Daten) zu einer gültigen Anforderung?:

    New-ExchangeCertificate -GenerateRequest -SubjectName “cn=mail.domain.de, o=Firma, c=DE” -DomainName mail.domain.de, server.domain.local, server, autodiscover.domain.de -PrivateKeyExportable $True –Path c:\name.cer

    Bei GoDaddy habe ich gefunden, dass UCC Zertifikate die richtigen sind für meine Anforderung. Aber es steht auch dort, dass dies nur für Domains gilt, die einen Stamm haben. In meinem Fall habe ich den internen FQDN des Exchange Servers “server.domain.local”, der hat mit domain.de keinen gemeinsamen Stamm und wenn ich GoDaddy richtig interpretiere, gibt es kein solches Zertifikat.

    Was muss ich also machen?

    Danke für Ihre Mühe.

  2. Carsten Rachfahl

    Hallo Herr Ebert,

    ja Sie können den Befehl so absetzen. Die “.local” Domain ist keine offizielle Topleveldomain. Deswegen findet GoDaddy niemanden der für diese Domain eingetragen ist und schickt Ihnen eine Mail in der Sie als Antragssteller bestätigen dass die Domain korrekt ist. Lesen Sie auch noch mal die Post da ich sie noch um einige Informationen ergänzt habe.

    MfG Carsten Rachfahl

  3. Hallo Herr Ebert,

    ich steh auch kurz davor ein neues Zertifikat auf einem Exchange 2007 Server auzustellen.
    Was bedeutet den unter SubjectName cn=mail.domain.de, o=Firma, c=DE” -DomainName?

    CN= ist klar. Aber was bedeutet o= und ce=de.
    Der Server ist von aussen her nicht erreichbar, sondern nur intern.
    Als Beispiel würde der FQDN des Servers nun SBS01.firma.local lauten.
    Was müsste ich nun als Subjectname eintragen?

    VIelen Dank für die Antwort.

    Gruss
    Andreas

  4. Hallo Herr Rachfahl, falscher Name zuvor verwendet);)

    ich steh auch kurz davor ein neues Zertifikat auf einem Exchange 2007 Server auzustellen.
    Was bedeutet den unter SubjectName cn=mail.domain.de, o=Firma, c=DE” -DomainName?

    CN= ist klar. Aber was bedeutet o= und ce=de.
    Der Server ist von aussen her nicht erreichbar, sondern nur intern.
    Als Beispiel würde der FQDN des Servers nun SBS01.firma.local lauten.
    Was müsste ich nun als Subjectname eintragen?

    VIelen Dank für die Antwort.

    Gruss
    Andreas

  5. Pingback:Exchange Server 2010 – Der Zertifikatsstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung fehlgeschlagen ist « Technikblog

  6. Hallo,

    ich habe eine relativ einfache Frage.
    Den Befehle für den Request. Gebe ich diesen komplett aussgeschrieben in die Powershell ein oder wie ist dein 4 Zeiler zu interpretieren. Leider tu gerade ich mir da etwas schwer.

    Ich müsste also in der Befehlszeile die ersten 3 Zeilen ausschreiben gefolgt von einem ” | ” und dan die letzte Zeile schreiben? Sehe ich das richtig?

  7. Carsten Rachfahl

    Hallo Chris,

    du siehst das richtig. Die ersten drei Zeilen sind eigentlich eine und das ergebnis wir der Variabeln $ZertifikatReq zugeordnet. Das wird dann in der letzten Zeile übergeben.

    Carsten

  8. Hallo Carsten.

    Danke für die Antwort.

    Jetzt ist mir nur noch eines nicht 100% klar, damit ich ein Zertifikat Request ausstellen kann.

    ” -DomainName mmas.rachfahl.de, vexchange-1.rachfahl.de, vexchange-1 ”

    Wenn meine interne Domäne zB.: micro.local heisst und meine externe remote.microsoft.de

    Dann müsste ich hier folgendes Eingeben:

    -DomainName micro.local, servername-1.micro.local, servername-1

    Stimmst du mir da zu?

    vlg

  9. Hallo Chris,

    in deinem Zertifikatsrequest muß sowohl dein externer Name drin stehen wie auch dein interner Name. Also würde in deinem Fall die Zeile lauten:

    “-DomainName remote.microsoft.de, micro.local”

    Mir kommt dabei aber micro.local etwas zu kurz vor.

    Gruß Carsten

  10. Hallo Carsten,

    In deinem Beispiel ist überall die rachfahl.de angegeben. Deswegen meine Unsicherheit.

    -DomainName externe_adresse, servername.interne_domäne, servername

    Hab ichs jetzt endlich richtig verstanden?
    In meinem Fall besteht die interne Domäne sogar nur aus 4 Buchstaben.

    vlg
    Chris

  11. Hallo Chris,

    du hast es richtig verstanden. Wichtig ist das in dem Zertifikat die externe Adresse vorhanden ist (damit kommunizieren ja schließlich deine Clients) und die Interen.

    Gruß Carsten

  12. Guten Morgen Carsten,

    Reicht ein Standard SSL Multi Domain Zertifikat bei deinem Link oder ratest du eher zum Deluxe SSL? Preislich is da ja schon ein Unterschied.

    Hab hier 2 IMAP Clients und 2 Handy’s

  13. Hallo Christian,

    Standard reicht vollkommen aus.

    Gruß Carsten

  14. Pingback:Himmlische IT - Blog zu den Microsoft Online Services

  15. Hi,
    ich bin so langsam am verzweifeln. es geht um eine dynalias.org adresse. der kunde hat noch kein feste ip (bekommt er demnächst) nun ist es der exchange 2010 komplett eingerichtet. alles klappt owa, iphone, samsung etc. nur so ein blödes MS Handy von Nolia zickt rum und beschwert sich über das zertifikat (was ja auch falsch ist). gibt es hier was wie quick and dirty? möchte nicht für zwei – drei wochen ein neues zert beantragen.
    über ein antwort würde ich mich freuen, wenn sie helfen können gerna uach über eine fernbetreuung gegen bezahlung.
    beste grüße aus hh
    t. paulick

  16. Hallo,
    melden Sie sich bei uns, entweder telefonisch oder per Mail, dann können wir einen Termin vereinbaren.
    Gruß, Jan

  17. Hallo, ist zwar schon älter der letzte Eintrag aber dennoch die Frage. Ich habe ein Zertifikat über euch gekauft für 5 SAN. 2 mx Einträge,ein nur Servername intern, ein intern.local und autodiscover. Jetzt bekomme ich die Warnung.
    Your requested subject alt name is not a fully-qualified domain name (FQDN) and can only be used internally. The certificate you have requested is not publicly accessible.
    NOTE All certificates without an FQDN common name expire on November 1, 2015 at midnight. Continuing causes your certificate to expire at the same time and shortens its validity period.
    Click proceed to continue.

    Was heißt das im Klartext. Das der reine Servername nur noch bis November geht und danach das Zert ungültig wird?

  18. Hallo,

    uns trifft es nun auch. Gibt es mittlerweile eine Antwort oder besser Lösung?

    Grüße um im Voraus danke,
    Stephan

  19. Hallo,
    es können keine offiziellen Zertifikate mehr für .local usw ausgestellt werden. Entweder wird nur der externe Name eingetragen (was zu Fehlermeldungen bei einer internen Kommunikation führt oder man nutzt ausschließlich Outlook Anywhere), es wird ein eigenes Zertifikat verwendet oder die interne Domain wird umgestellt auf eine offizielle Endung (was ja auch nicht “mal eben” geht).
    Gruß, Jan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.