[exchange 2007/win2k8] SAN certificate

Moderator SSC/PB

Moooooh!

Vor self signed certificaten in Exchange 2007 heb je geen CA nodig. Je maakt gewoon een certificaat aan met new-exchangecertificate en neemt die vervolgens in gebruik met enable-exchangecertificate.

Meer info:
http://technet.microsoft....y/aa998327(EXCHG.80).aspx
http://technet.microsoft....y/aa997231(EXCHG.80).aspx

vrijdag 5 september 2008 20:42

Acties:

vrijdag 5 september 2008 21:15

Topicstarter

Hmm ok? zoeken naar iets wat niet nodig is dus

Dank voor de snelle reactie

Toch kom ik er nog niet helemaal uit:

met New-ExchangeCertificate maak ik een request, maar wat moet ik er mee doen, want de Enable-ExchangeCertificate wil een thumbprint, hoe kom ik daar dan aan?
ook met de thumbprint kom ik er nog niet

* siepeltjuh is het bos al voorbij en ziet nu niets meer.

Misschien ben ik helemaal verdwaald, maar dat gaat niet lukken denk ik, want de tijdens de installatie aangemaakte cert is voor FQDN host.domein.local en niet voor de externe host.domein.nl

Intern zal dat certificaat dan ook wel werken, maar extern niet..

[ Voor 31% gewijzigd door siepeltjuh op 05-09-2008 21:01 ]

Can`t live without the mods

Acties:

Moderator SSC/PB

Moooooh!

Je moet je echt even inlezen, ik gaf die links niet omdat het allemaal zo simpel is.

Het cmdlet New-ExchangeCertificate heeft een aantal opties, waaronder -DomainName. Uit de help pagina:

DomainName
Optional
Microsoft.Exchange.Data.MultiValuedProperty
Use this parameter to populate one or more domain names (FQDN) or server names in the resulting certificate request.

Domain names are restricted to the characters "a-z", "0-9" and the hyphen ("-"). Each domain name cannot be longer than 255 characters.

To enter multiple domain or server names, you must enter the names separated by commas.

Verder staan er onderaan het artikel een aantal links naar blogposts met meer informatie, dat zijn:
http://go.microsoft.com/fwlink/?LinkId=83329
http://go.microsoft.com/fwlink/?LinkId=94745
http://go.microsoft.com/fwlink/?LinkId=94743

zaterdag 6 september 2008 13:44

Acties:

zaterdag 6 september 2008 13:51

Topicstarter

De meeste links had ik al gelezen, krijg het gewoon niet voor elkaar.

Ergens zal ik een stomme fout maken. Voor de komende 30 dagen gebruik ik iig een gratis test certificaat.
Tegen die tijd hoop ik mijn kennis ver genoeg te hebben verbreed om dit probleem te tackelen.

Kort vraagje nog. Stel je zou het wel via je eigen ADCA willen doen, kan dat uberhaupt? tussen de templates kon ik niet iets van san vinden?!
issue certificate by template optie doel ik op.

Can`t live without the mods

Acties:

Moderator SSC/PB

Moooooh!

Vertel dan eens hoe je het doet? Wat geef je precies voor opties mee aan New-ExchangeCertificate en aan Enable-ExchangeCertificate?

Dan lopen we er even stap voor stap doorheen.

zaterdag 6 september 2008 14:09

Acties:

zaterdag 6 september 2008 15:43

Topicstarter

Oke.

Stap1:

code:

New-ExchangeCertificate -DomainName www.domein.nl, autodiscover.domein.nl, webmail.domein.nl -FriendlyName TestCertificate -GenerateRequest:$True -Keysize 1024 -path c:\TestCertificate.req -privatekeyExportable:$true -subjectName "c=nl, o=siepeltjuh, CN=domein.nl"

Stap2:
hier gaat het mis...

code:

1	Import-ExchangeCertificate -Path c:\TestCertificate.req –Password:(Get-Credential).password

Stap3:

code:

1	Enable-ExchangeCertificate -thumbprint xxxxxxxxxxxxxxxxxxxxxxxxxxxx

Vraag om het wat duidelijker te maken. doet stap1 nu een request of het certificaat zelf maken?
Als het een request is, hoe zet ik de request om in een certificaat.

Bij de gratis ssl test, was het eenvoudig stap 1 + -GenerateRequest de output naar de provider sturen, wachten tot ik de mail met certificaat terug kreeg en die importen en enablen.
Ik blijf bij een self signed steeds hangen bij het stuk waar ik een reuqest omzet in een geldig certificaat.

Can`t live without the mods

Acties:

Moderator SSC/PB

Moooooh!

Stap 1: Als je wilt dat Exchange een self-signed certificaat voor je aanmaakt dan is dat wat anders dan het voorbereiden van een request voor een externe CA. Dus in jouw geval kun je -GenerateRequest, -Keysize, -path en -privatekeyExportable achterwege laten.

Dus het commando wordt:

code:

1	New-ExchangeCertificate -DomainName www.domein.nl, autodiscover.domein.nl, webmail.domein.nl -FriendlyName TestCertificate

Nu geeft Exchange de output van wat hij gedaan heeft met onder andere een lange string, de thumbprint. Die selecteer je met je muis en plaats je met Copy op je plakbord.

Importeren, jouw stap 2, is niet nodig omdat Exchange het certificaat al in de lokale certificate store heeft geplaatst.

Nu gaan we het zojuist aangemaakte certificaat koppelen aan de diensten die jij graag wilt, stap 2 (voor jou stap 3

). Er vanuit gaande dat je het wilt gebruiken voor de webservices dan wordt je commando als volgt:

code:

1	Enable-ExchangeCertificate -thumbprint xxxxxxxxxxxxxxxxxxxxxxxxxxxx -Serivces IIS

Ik hoop dat dit de procedure wat verduidelijkt.

zondag 7 september 2008 16:36

Acties:

zondag 7 september 2008 19:44

Topicstarter

Helder
Dat maakt het een stuk duidelijker.
Ik ging ervanuit dat ik zelf het certificaat nog moest signen, dat doet exchange dus direct zelf.

Nu nog zorgen dat ik het certificaat op de clients krijg, maar daarvoor heb ik inmiddels wat goeie linkjes voor gevonden om dat eenvoudig te doen.
Erg bedankt voor je geduld

Can`t live without the mods

Acties:

Moderator SSC/PB

Moooooh!

Graag gedaan.

maandag 8 september 2008 09:16

Acties:

Verwijderd

Jazzy schreef op vrijdag 05 september 2008 @ 20:33:
Vor self signed certificaten in Exchange 2007 heb je geen CA nodig. Je maakt gewoon een certificaat aan met new-exchangecertificate en neemt die vervolgens in gebruik met enable-exchangecertificate.

Meer info:
http://technet.microsoft....y/aa998327(EXCHG.80).aspx
http://technet.microsoft....y/aa997231(EXCHG.80).aspx

Je hebt het niet nodig nee, maar in een enterprise omgeving staat het wel knullig als je met een server-signed-certificate aankomt. In een beetje productie omgeving moet je gewoon een cert hebben van een CA.

Het is zeker wel te doen trouwens. Ik heb het draaien in een test omgeving met eigen CA en dat gaat prima. Het is pielen..dat wel

maandag 8 september 2008 10:03

Acties:

Moderator SSC/PB

Moooooh!

Het is naar mijn mening niet zozeer een kwestie van knullig, maar gewoon van welke eisen je aan de oplossing stelt. Voor veel bedrijven is het geen enkel probleem om te investeren in een certificaat van een vertrouwde uitgever. Voor net zo veel andere bedrijven is het geen probleem om hun gebruikers instructie te geven hoe ze het certificaat kunnen 'installeren' in hub browser.

Het gebruik van een interne CA bied (m.i.) voor de meeste scenario's weinig toegevoegde waarde.

maandag 8 september 2008 10:08

Acties:

Verwijderd

Jazzy schreef op maandag 08 september 2008 @ 10:03:
Het is naar mijn mening niet zozeer een kwestie van knullig, maar gewoon van welke eisen je aan de oplossing stelt. Voor veel bedrijven is het geen enkel probleem om te investeren in een certificaat van een vertrouwde uitgever. Voor net zo veel andere bedrijven is het geen probleem om hun gebruikers instructie te geven hoe ze het certificaat kunnen 'installeren' in hub browser.

Het gebruik van een interne CA bied (m.i.) voor de meeste scenario's weinig toegevoegde waarde.

Ik heb het over een enterprise omgeving he. Als het om 20 laptops gaat, ja, das wat anders natuurlijk.

maandag 8 september 2008 10:32

Acties:

Moderator SSC/PB

Moooooh!

Verwijderd schreef op maandag 08 september 2008 @ 10:08:
[...]

Ik heb het over een enterprise omgeving he. Als het om 20 laptops gaat, ja, das wat anders natuurlijk.

Begrijp ik, maar 'enterprise' zegt niet automatisch iets over de werkwijze. Ik ken bedrijven met 10 werknemers die je niet als enterprise zou bestempelen maar wel hele hoge eisen aan hun omgeving stellen. Net zoals er typische enterprise-omgevingen zijn waarbij geen euro gespendeerd wordt aan iets simpels als een certificaat.

maandag 8 september 2008 19:31

Acties:

maandag 8 september 2008 23:00

Topicstarter

Vervelend is dat die certificaten zoveel geld kosten.

Vooor een omgeving met 100+ mensen zijn die ksoten totaal niet relevant, maar voor ~10 gebruikers is het opeens wel een aardig struikelblok.
daarbij komt natuurlijk dat bij 10 gebruikers zelf certificaatje installaren weinig impact heeft. Bij 100+ gebeuikers moet je bijna iemand extra aannemen omdat allemaal te gaan helpdesken.

Can`t live without the mods

Acties:

Moderator SSC/PB

Moooooh!

Qua kosten valt het best wel mee tegenwoordig, zeker als je kijkt bij bijvoorbeeld http://www.sslcertificaten.nl/ en dergelijke. Een certificaat van Verisign is inderdaad belachelijk duur.