Certificaat aanmaken

Je kan een certificaat maken door de role "certificate services" te installeren, of IIS gebruiken en dan de optie certificaten. Daar kan je een nieuwe aanmaken met het eigen adres. Rechts staat die optie.

Met Exchange 2007 kun je dit het beste doen via PS in de EMC. De cmdlet die je zoekt heet new-exchangecertificate. Helaas is dit de beste wijze om dit te doen met 2007, in 2001 zit er weer een gui wizard in Exchange.

Arno schreef op zondag 13 februari 2011 @ 00:17:
Met Exchange 2007 kun je dit het beste doen via PS in de EMC. De cmdlet die je zoekt heet new-exchangecertificate. Helaas is dit de beste wijze om dit te doen met 2007, in 2001 zit er weer een gui wizard in Exchange.

Ik zou niet gebruik maken van een self signed certificate want dan moet op je iedere pc waar je gebruik wil maken van Outlook Anywhere het certificaat importeren in de certificate store. Want dat is namelijk wat het commando new-exchangecertificate doet. Hangt ook een beetje af van de grootte van je netwerk, maar ik heb zelf het motto, als ik meer dan een keer moet doen wil ik het automatiseren, vandaar ook dit advies.

Ik zou eerder een certificaat kopen voor Outlook Anywhere, en dan koppelen binnen Exchange 2007. Omdat een gekocht certificaat al automatisch vertrouwt wordt en het trusted certificaat aanwezig is in de certificate store van iedere client pc.
Zie hier hoe je dat moet doen:
Stap 1:
How to Request an SSL Certificate
Stap 2
How to Install an SSL Certificate on a Client Access Server

En zie hier over hoe je Outlook Anywhere in Exchange 2007 op juiste manier enabled:
How to Enable Outlook Anywhere

[ Voor 55% gewijzigd door Turdie op 13-02-2011 01:21 ]

The Chaser schreef op zondag 13 februari 2011 @ 02:05:
2pc's moeten er gebruik van maken... dus hoe doe ik het met een self signed certificate ?

Even googlen en ik kom hieruit:
New-ExchangeCertificate
Intikken in de Exchange Management Shell .

The Chaser schreef op zondag 13 februari 2011 @ 18:53:
Kan je een voorbeeld intikken?
Ik weet niet echt welke waarden ik moet ingeven...

Staat onderaan het artikel:


Ook hier je vind je meer:
More on Exchange 2007 and certificates - with real world scenario

Maar ook als dit commando op Google intikt kom je echt legio voorbeelden tegen, of iedere andere zoekmachine die je veel gebruikt .
New-ExchangeCertificate

[ Voor 64% gewijzigd door Turdie op 14-02-2011 00:12 ]

Die biedt je aan bij een SSL leverancier, je mag je wel een klein beetje verdiepen in de materie

Dan moet je dus niet -GenerateRequest -Path c:\certificates\request.req gebruiken. Maar serieus, je kunt dit ook zelf best uitzoeken. Je Google doet het toch nog wel? Voor de zekerheid, wat jij zoekt heet een self-signed certificate.

Ach ja, Google :

http://technet.microsoft....y/bb851554(EXCHG.80).aspx

Mijn raad? Als je er niet zoveel van kent, gebruik dan gemakkelijkere technologien. Je hebt de basis principes nog niet door.

Er zijn in totaal drie opties voor Exchange Certificaten :

- SSL Certificate by a trusted source : Deze heb je dan aangekocht, bijvoorbeeld bij GoDaddy ( Howto : http://help.godaddy.com/article/4877 ) , prijs nu aan 10 euro normaal aan 40 euro, kan je toch niet voor sukkelen zoals je nu doet
- SSL Certificate by a local source : Hiervoor zet je zelf de MS Certificate Authority op, bijgevolg word er een root certificate gecreerd en automatisch bij alle pc's geinstalleerd. Zodoende dat voor de interne netwerk pc's deze als "trusted" word geverifieerd.
- SSL Self Signed Certificate : Hiermee maak je een certificaat zonder dat deze een bovenliggend Root Certificate heeft, alle pc's gaan deze niet vertrouwen tot wanneer je ze manueel importeerd. Niets anders dan shit mee in een Exchange omgeving ( Errors bij het downloaden van het adresboek, errors in owa, mobiele toepassingen enz )

Maak het leven gemakkelijk en koop een SSL certificaat met SAN ( Subject Alternative Names ) , die heb je nodig om al je interne url's in te zetten, samen met je externe ( autodiscover, webmail, server.domain.local, ip address )

Je hebt dus blijkbaar tot nu toe je request gemaakt, deze moet bij een CA belegd worden. Je kan zelf CA spelen, dan ben je niet afhankelijk van externe partijen. Echter ben je dan als CA niet trusted tenzij je je root CA certificaat als trusted installeert op de clients.

Om CA te spelen moet je "iets" installeren op je Windows doos (zie dit artikel wat je moet installeren).

Ga eens met bovenstaande aan de gang.