[2003] Kerio Mailserver certificaat signen

Pagina: 1
Acties:

  • Thunderhawk
  • Registratie: Mei 2002
  • Laatst online: 18-02 14:10
Hallo,

Ik heb op mijn W2k3 server Kerio Mailserver geinstalleerd. Nu wil ik graag de verbindingen via SSL laten verlopen, omdat er hier veel met laptops gewerkt worden, die ook op andere plekken (eg. hotels) aangesloten worden.

Nu heb ik op mijn W2k3 server de certificaten service geinstalleerd. Vervolgens heb ik in Kerio een request aangemaakt, en de 2 bestanden; "dond.crs" en "dond.key", ge-exporteert.

Daarna naar het "Certificeringsinstantie"-console en een nieuwe aanvraag indienen. Echter, hier aangekomen kan ik geen .crs of .key files inlezen.

Ik snap echt niet hoe ik dit nou moet oplossen!

Ik heb GoT helemaal doorzocht, en als ik op Google zoek krijg ik alleen maar OpenSSL en voor linux etc. Erg erg weinig over Windows. (Doe vast iets fout ;) )

Wat moet ik doen om van mijn .crs en .key file een valid .crt te maken?

Bedankt!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Je hebt dus de Windows 2003 Certificate Authority Services geinstalleerd?
En heb je nu vanuit je mailserver een Certrequest aan je 2003 CA gedaan, of heb je in Kerio 2 certificaatbestanden gemaakt en probeer je die nu in je eigen Domain CA te importeren?

[ Voor 5% gewijzigd door alt-92 op 09-09-2005 18:37 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • Thunderhawk
  • Registratie: Mei 2002
  • Laatst online: 18-02 14:10
> Je hebt dus de Windows 2003 Certificate Authority Services geinstalleerd?

Ja deze heb ik nu geinstalleerd.

> En heb je nu vanuit je mailserver een Certrequest aan je 2003 CA gedaan, of heb je in Kerio 2 certificaatbestanden gemaakt en probeer je die nu in je eigen Domain CA te importeren?

Ik heb in ieder geval dat laatste geprobeerd. En dat eerste krijg ik niet voor elkaar. Als ik dat doe, dan komt er dus in Kerio wel te staan dat ie een request heeft gemaakt, maar dan zie ik bij mijn CA verder niets :/

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

In Kerio certificaten aanmaken en dan importeren in je CA lijkt me ook nogal nutteloos, dan had je namelijk helemaal geen CA hoeven installeren.

Ik zou me dus concentreren op het type certificaat wat je nodig hebt (webserver) en deze eventueel via http://caserver/Certsrv online aanmaken.
Importeren in de Local Machine store van de mailserver, en vervolgens selecteren als Cert binnen Kerio.

Zo werkt het hier prima met een Windows CA en MDaemon op een andere Server, Mdaemon gebruikt de CA van het domain in dit geval :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • Thunderhawk
  • Registratie: Mei 2002
  • Laatst online: 18-02 14:10
Het gaat niet om webmail, het gaat om een Outlook verbinding (via IMAPS en SSMTP). Deze gaat dan bij het versturen van de mail zeggen:

TITLE: "Internet Security warning"
"The server you are connected to is using a security certificate that could not be verified. A certain chain processed, but terminated in the a root certificate which is not trusted by the trust provider.

Do you want to continue using this server?

Yes/No"

Verder begrijp ik ook niet helemaal welk template ik moet kiezen bij het aanmaken en indienen van een cert :S (tis allemaal wat moelijker dan het lijkt)

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Zompy schreef op zaterdag 10 september 2005 @ 14:21:
Het gaat niet om webmail, het gaat om een Outlook verbinding (via IMAPS en SSMTP).
dat maakt in het verhaal niet zoveel uit eerlijk gezegd.

Wat je uit de fout haalt is dat je een chain trust moet hebben tot aan de root.

En wat is er nou makkelijker dan gebruik maken van je eigen (root)CA om dat af te dwingen? :P
Keywords: autoenrollment, PKI infrastructure

Je kan via je AD de benodigde certificaten (laten) installeren op je werkstations om de communicatie via SSL te laten lopen met eigen Domain Certificaten (die automatisch hun eigen root, je CA Server binnen je eigen domain vertrouwen).

verder vereist het wel inzicht en ervaring met DNS, omdat je zowel binnen als buiten van fqdns gebruik wil maken zonder je users met foutmeldingen op te zadelen ( root cert moet op de PCs als Trusted RootCA aanwezig zijn).
Verder begrijp ik ook niet helemaal welk template ik moet kiezen bij het aanmaken en indienen van een cert :S (tis allemaal wat moelijker dan het lijkt)
Ook daarvoor is documentatie te vinden, zowel bij MS als andere bronnen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1