Vraag

dinsdag 17 mei 2016 19:03

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Beste Tweakers,

Kan ik een CSR aanmaken met IIS 7.5 en dan het certificaat wat voorkomt uit dit CSR gebruiken voor niet alleen IIS, maar ook voor Exchange 2010: SMTP, POP3, IMAP. ActiveSync etc...

Ik gebruik SBS 2011 maar de certificate wizard in de SBS console laat me geen keylength (bv. 3072 of 4096 bit) configureren vandaar dat ik graag IIS zou willen gebruiken, maar ik vraag me af of ik het Cert. dan ook voor de Exchange services kan gebruiken.

Mijn tweede (minder belangrijke vraag):

Ik zou graag een ECC SSL certificaat aanschaffen omdat IIS dan veiligere ciphersuites ondersteunt (zie:http://forums.iis.net/t/1201043.aspx?TLS+1+2+w+ECDHE+GCM+on+IIS+7+5)

Kan ik compatibiliteitsproblemen verwachten als ik een ECC SSL certificaat aanschaf in plaats van een RSA certificaat?
Met compatibiliteitsproblemen doel ik met name op het niet (beveiligd) kunnen verbinden met andere mailservers en / of dat andere mailservers geen connectie kunnen krijgen met mijn Exchange-server; dat verouderde browsers geen verbinding meer kunnen maken met (bijvoorbeeld) OWA, vind ik geen probleem.

Alvast bedankt voor uw input.

Beste antwoord (via Verwijderd op 20-05-2016 11:27)

woensdag 18 mei 2016 08:10

  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Het aanmaken van de CSR kun je doen via SBS, IIS, Exchange, Powershell of de MMC (certificaten-plugin). Het resultaat is in alle gevallen hetzelfde: een opgeslagen private key, met de daarbij vehorende public-key.
Persoonlijk zou ik kiezen voor het aanmaken via de certificaten-plugin van de MMC. Daar heb je meer vrijheid dan via de ingebouwde wizards in (bijvoorbeeld) Exchange en IIS. Het eerste waar ik dan aan denk is het exporteerbaar maken van je private key.
Het certificaat kun je - als het uitgegeven is - gewoon via diezelfde plugin installeren waarna het beschikbaar is binnen alle (MS) applicaties die het willen gebruiken... het binden verschilt niet.

Voor wat betreft ECC: Ook daarvoor is de certificaat-plugin het meest praktisch, je moet namelijk een andere cryptografische key opgeven, de "ECDSA_P256, Microsoft Software Key Storage Provider". Voor de rest is de aanmaak van je CSR identiek.
Met deze ECC-CSR kun je aankloppen bij een SSL-verkoper. Uitgevers die je een ECC-certificaat kunnen leveren zijn (onder andere) Symantec, Thawte, Geotrust, Comodo en Globalsign (zo uit mijn hoofd).

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

Alle reacties

dinsdag 17 mei 2016 22:14

Acties:
  • 0 Henk 'm!
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 11-09 18:27

Linke Loe

Om antwoord te geven op je eerste vraag: Ja, dat kan en is in mijn ogen eigenlijk de enige juiste manier. Ik kan me echter niet voorstellen, dat een beheerder van een Exchange omgeving niet weet hoe dit moet, of niet weet hoe Google werkt. Heb je zelf al wat uitgezocht hierover?

woensdag 18 mei 2016 00:10

Acties:
  • 0 Henk 'm!
  • Dennism
  • Registratie: September 1999
  • Laatst online: 19:33

Dennism

Voor Exchange zou ik hier even naar kijken: https://blogs.technet.mic...e-tls-ssl-best-practices/

Cert aanvragen op SBS moet zowel via IIS als via de Exchange management shell kunnen als je de wizard niet wil gebruiken.

woensdag 18 mei 2016 08:10

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Het aanmaken van de CSR kun je doen via SBS, IIS, Exchange, Powershell of de MMC (certificaten-plugin). Het resultaat is in alle gevallen hetzelfde: een opgeslagen private key, met de daarbij vehorende public-key.
Persoonlijk zou ik kiezen voor het aanmaken via de certificaten-plugin van de MMC. Daar heb je meer vrijheid dan via de ingebouwde wizards in (bijvoorbeeld) Exchange en IIS. Het eerste waar ik dan aan denk is het exporteerbaar maken van je private key.
Het certificaat kun je - als het uitgegeven is - gewoon via diezelfde plugin installeren waarna het beschikbaar is binnen alle (MS) applicaties die het willen gebruiken... het binden verschilt niet.

Voor wat betreft ECC: Ook daarvoor is de certificaat-plugin het meest praktisch, je moet namelijk een andere cryptografische key opgeven, de "ECDSA_P256, Microsoft Software Key Storage Provider". Voor de rest is de aanmaak van je CSR identiek.
Met deze ECC-CSR kun je aankloppen bij een SSL-verkoper. Uitgevers die je een ECC-certificaat kunnen leveren zijn (onder andere) Symantec, Thawte, Geotrust, Comodo en Globalsign (zo uit mijn hoofd).

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 19 mei 2016 21:24

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Linke Loe schreef op dinsdag 17 mei 2016 @ 22:14:
Om antwoord te geven op je eerste vraag: Ja, dat kan en is in mijn ogen eigenlijk de enige juiste manier. Ik kan me echter niet voorstellen, dat een beheerder van een Exchange omgeving niet weet hoe dit moet, of niet weet hoe Google werkt. Heb je zelf al wat uitgezocht hierover?
Jij denkt dat ik niet eerder gezocht heb op het internet? Ik heb me helemaal suf gegoogeld maar heb het antwoord op mijn vraag niet kunnen vinden.

donderdag 19 mei 2016 21:25

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Jester-NL schreef op woensdag 18 mei 2016 @ 08:10:
Het aanmaken van de CSR kun je doen via SBS, IIS, Exchange, Powershell of de MMC (certificaten-plugin). Het resultaat is in alle gevallen hetzelfde: een opgeslagen private key, met de daarbij vehorende public-key.
Persoonlijk zou ik kiezen voor het aanmaken via de certificaten-plugin van de MMC. Daar heb je meer vrijheid dan via de ingebouwde wizards in (bijvoorbeeld) Exchange en IIS. Het eerste waar ik dan aan denk is het exporteerbaar maken van je private key.
Het certificaat kun je - als het uitgegeven is - gewoon via diezelfde plugin installeren waarna het beschikbaar is binnen alle (MS) applicaties die het willen gebruiken... het binden verschilt niet.

Voor wat betreft ECC: Ook daarvoor is de certificaat-plugin het meest praktisch, je moet namelijk een andere cryptografische key opgeven, de "ECDSA_P256, Microsoft Software Key Storage Provider". Voor de rest is de aanmaak van je CSR identiek.
Met deze ECC-CSR kun je aankloppen bij een SSL-verkoper. Uitgevers die je een ECC-certificaat kunnen leveren zijn (onder andere) Symantec, Thawte, Geotrust, Comodo en Globalsign (zo uit mijn hoofd).
Ja maar kunnen andere SMTP-servers ook overweg met een moderner ECC SSL certificaat of loop ik dan tegen problemen aan?

donderdag 19 mei 2016 22:40

Acties:
  • 0 Henk 'm!
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 11-09 18:27

Linke Loe

Verwijderd schreef op donderdag 19 mei 2016 @ 21:24:
[...]


Jij denkt dat ik niet eerder gezocht heb op het internet? Ik heb me helemaal suf gegoogeld maar heb het antwoord op mijn vraag niet kunnen vinden.
Het is hier vrij gangbaar, dat je in je openingspost aangeeft wat je zelf al gedaan hebt om de antwoorden op je vragen te vinden. Je zal vast wel gegoogled hebben, maar dat blijkt niet uit je openingspost.

vrijdag 20 mei 2016 08:04

Acties:
  • 0 Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Je certificaat heeft nauwelijks iets met het (SMTP-)protocol of mailtransport te maken. Het certificaat doet iets op je server.
Tenzij je te maken hebt met gebruikers met verschrikkelijk verouderde en niet meer ondersteunde software, zou er geen probleem moeten zijn om een ECC-certificaat te gebruiken.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 20 mei 2016 11:28

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Oke ik weet genoeg bedankt!
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq