Toon posts:

[exchange 2010] Import van certificaat faalt

Pagina: 1
Acties:

maandag 16 november 2009 14:31

Acties:
  • siepeltjuh
  • Registratie: Maart 2003
  • Niet online

siepeltjuh

Topicstarter
Een hele tijd geleden had ik al wat moeite met het werkend krijgen van een exchange 2007 certificaat:
[exchange 2007/win2k8] SAN certificate

Nu zit ik echter met een nieuw probleem. In de lab opsteling ben ik nu aan het kijken wat exchange 2010 allemaal kan. Aangezien de lab opstelling al een stuk verder uitgebreid is dan bij het vorige thread, gebruik ik sinds kort een ubuntu VM met openssl om certificaten te signeren. Ik speel dus zelf voor CA, hoefmaar 1 certificaat te verspreiden, kortom erg prettig.

Echter nu met exchange 2010 krijg ik het niet voor elkaar een valid certificaat te genereren met openssl. Wat ik gedaan heb:
  • Request gemaakt met de wizard in de exchange console.
  • Request gesigneerd middels de openssl CA omgeving
  • Geimporteerd middels de wizard in exchange 2010
Het certificaat staat er nu wel, mar met de opmerking:
The certificate is invalid for exchange server usage

Hoe kom ik er achter wat er precies mis is met het certificaat? En waarom weigerd de wizard hem dan niet gewoon als hij toch niet ok is.

Als ik het certificaat gewoon open dan is alles ok. je ziet het pad naar de CA, alle info klopt, hij is geldig, niets geks met de begin / eind tijd.

Om het request te kunnen signen heb ik een witregel moeten verwijderen, deze stond tussen de gecodeerde tekst en de regel --- end request ---. Anders snapt openssl het niet. (bijn meer mensen die dat probleem hadden)
Het signen zelf via:
openssl ca -out test_cert.cer -config conf/caconfig.cnf -infiles request.req
Daarna heb ik heel veel tekst uit het test_cert.cer bestand verwijderd, zodat alleen het gecodeeerde stuk overbleef met de --- begin en --- eind stukken er nog in. Anders snapte de wizard het certificaat niet.
Ook dat heb ik vi agoogle uitgevonden.

Nu blijft die laatste foutmelding nog over:
The certificate is invalid for exchange server usage

Can`t live without the mods

maandag 16 november 2009 15:09

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:02

Jazzy

Moderator SSC/PB

Moooooh!

Er staat toch ook bij waarom het certificaat niet goed is?

Exchange en Office 365 specialist. Mijn blog.

maandag 16 november 2009 15:21

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:20

Equator

Crew Council

#whisky #barista

Geef eens de output van:
openssl x509 -in <pad naar gebruikte cert> -noout -text

maandag 16 november 2009 17:43

Acties:
  • siepeltjuh
  • Registratie: Maart 2003
  • Niet online

siepeltjuh

Topicstarter
@Jazzy
Neen, dat is nu het jammere, hij zegt alleen dat hij neit valid is. Hij staat wel prima in de console vermeld. Dus het importeren enz gaat helemaal goed.

@Equator
Zit nu op mijn werk, om 22:15 ben ik thuis en doe ik die check direct. Wat kan ik verwachten?

Can`t live without the mods

maandag 16 november 2009 19:50

Acties:
  • DDX
  • Registratie: April 2001
  • Laatst online: 21:26

DDX

Niet om je probleem op te lossen, maar ik had vorige week ons san certificaat uitgebreid voor een nieuwe exchange 2010 install.
Aangevraagd via de nieuwe 2010 server, en ik krijg na het importeren ook de melding 'The certificate is invalid for exchange server usage'

Zie je het certificaat wel met Get-ExchangeCertificate ?
Ik zag daar de thumbprint die ik bij completen van het cert kreeg niet terug.
(Via mmc zag ik het certificaat wel)

Ik heb het probleem uiteindelijk opgelost door het certificaat via een re-issue op de 2007 server aan te vragen, en daarna via pfx export, geimporteerd op de 2010 server.
Zat enige haast achter aangezien de ssl leverancier het oude san had ingetrokken, dus geen tijd om het probleem op de 2010 server verder uit te zoeken.

https://www.strava.com/athletes/2323035

maandag 16 november 2009 21:31

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Mogelijk is je private key niet aanwezig? Dat is de enige reden waarom ik deze fout tot nu toe een keer zag :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 16 november 2009 23:12

Acties:
  • siepeltjuh
  • Registratie: Maart 2003
  • Niet online

siepeltjuh

Topicstarter
@Equator Hieronder de output, bepaalde delen heb ik geknipt, of omdat er namen enz in staat en stukken waar encrypted blaat staat.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 4 (0x4)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=NL, ST=Groningen, L=Groningen, O=[knip], CN=CA/emailAddress=[knip]
        Validity
            Not Before: Nov 16 12:53:30 2009 GMT
            Not After : Feb 28 12:53:30 2013 GMT
        Subject: C=NL, ST=Groningen, O=[knip], OU=None, CN=[knip]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
               [knip]
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                [knip]
            X509v3 Subject Key Identifier:
                [knip]
            X509v3 Authority Key Identifier:
                keyid:[knip]
    Signature Algorithm: sha1WithRSAEncryption
             [knip]

@DDX
Met Get-ExchangeCertificate zie ik het certificaat wel vermeld staan. Ht is dus een ander probleem als dat jij hebt (denk ik)

@sanfranjake
Hmm, zou kunnen, echter waar zou die private key vandaan moeten komen. Immers genereer ik via de wizard van exchange 2010 een certificaat request. Daar staat alleen de request in, niet de private key. De private key wordt denk ik door exchange management console zelf bewaart.

Can`t live without the mods

maandag 16 november 2009 23:49

Acties:
  • siepeltjuh
  • Registratie: Maart 2003
  • Niet online

siepeltjuh

Topicstarter
Vaag, maar via de Get-exchangecertificate cmdlet van DDX kwma ik op het idee om maar eens via de shell het enable-exchangecertificate cmdlet uit te voeren.

De shell accepteerd het gewoon, als ik nu een get-exchangecertificate uitvoer zie ik dat hij enabled is voor IIS. Een test outlook client geeft nu ook geen errors meer mbt het certificaat.

In de mmc van exchange zie ik echter nog steeds een kruis staan door het certificaat dat hij niet actief is met dezelfde tekst als eerst.

Erg vreemd, maar toch werkt het wel. Ik ben benieuwd of hier nog iemand iets kan roepen waardoor hij ook in de console gewoon als normaal certificaat vermeld staat.

Can`t live without the mods

dinsdag 17 november 2009 09:07

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:20

Equator

Crew Council

#whisky #barista

Even een wild guess, maar heb je ook het ondertekenende Root CA certificaat geinstalleerd op de Exchange server (dus toe gevoegd aan de Computer store: Trusted Root certificates) :?

zaterdag 21 november 2009 23:28

Acties:
  • siepeltjuh
  • Registratie: Maart 2003
  • Niet online

siepeltjuh

Topicstarter
@Equator
Nee, het CA certificaat is in orde. Overal staat ook een vinkje bij (op client en email verification na) in de store, dus niets mis mee.

Erg vreemd, het werkt nu verder zoals het hoort, maar toch zit dat rode kruis in de management console me niet lekker. Er is toch ergens iets wat niet, niet goed functioneerd waar ik nu nog geen zicht op heb.

Can`t live without the mods

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq