Lokale CA – Exchange 2013-Zertifikatanforderung


Exchange 2013-ZertifikatanforderungDas Anfordern eines Exchange 2013-Zertifikats ist an sich unkompliziert, aber es steckt alles im Detail. Über Zertifikate für Exchange und noch mehr über Zertifikate im Allgemeinen wurde bereits viel gesagt. Jedes Mal, wenn Sie sich erneut mit dem Problem des Zertifikatswechsels auseinandersetzen müssen, tun Sie alles wie beim ersten Mal.… Natürlich, wie sonst, denn gewöhnliche Administratoren müssen Zertifikate nicht mehr als ein paar Mal im Jahr oder sogar alle drei Jahre und noch seltener erneuern. Einmal erschöpft, denkst du dir: “Nun, endlich werde ich mich für ein weiteres Jahr nicht mehr an diesen Horror erinnern!” Aber kurz nach solchen Gedanken wird es nicht schaden, die verbleibende Kraft zu einer Faust zu sammeln und erneut zu tun … was? Sicher mit Zertifikaten! Nur diesmal nicht durch Erweiterung, sondern durch Dokumentation dessen, was getan wurde, damit beim nächsten Mal alles noch einfacher wird.

Im Internet finden Sie eine Vielzahl von Artikeln zum Erneuern von Exchange-Zertifikaten jeder Version. Überraschenderweise gibt es äußerst adäquate Artikel nicht nur zu englischsprachigen Ressourcen , aber auch auf russisch … Ein markantes Beispiel dafür ist der Blog von Alexei Bogomolov (Blog ausschließlich für Exchange Server). Persönlich nutze ich diese Ressource ständig und liebe und respektiere sie sehr für ihre grundlegende Herangehensweise an das Thema der Berichterstattung über das Problem.

Früher habe ich Comodo Exchange-Zertifikate verwendet, aber kürzlich beschlossen, zu Zertifikaten zu wechseln, die von einer lokalen Zertifizierungsstelle ausgestellt wurden, die auf einem Windows Server 2008 R2-Domänencontroller bereitgestellt wurde. Warum? Im Rahmen dieses Artikels lassen wir diese Frage unbeantwortet und fahren direkt mit dem Prozess der Zertifikatserneuerung fort.

Es gibt andere Artikel zu Exchange-Zertifikaten in meinem Blog:

Weitere Artikel zu digitalen Zertifikaten finden Sie unter der Überschrift Digitale Zertifikate.


Weitere Informationen zum Einrichten und Verwalten von Exchange 2013 finden Sie in meinem Blog im Hauptthema Artikel – Exchange 2013 – Installation, Konfiguration, Verwaltung.


Umgebung einrichten

Wie in Alexeys Artikel musste ich meine Zertifizierungsstelle ein wenig optimieren und alles begann mit der Installation der Komponente “Registrierungsdienst in der Zertifizierungsstelle über das Internet”. Wenn sich jemand nicht daran erinnert, wie die erforderlichen Komponenten einer bestimmten Rolle in Windows Server 2008 R2 hinzugefügt werden sollen, geschieht dies folgendermaßen:

lokales Zertifikat austauschen 01

lokales Zertifikat austauschen 02

Für die Zertifikatunterstützung für alternative Hostnamen müssen wir die SAN-Unterstützung wirklich separat aktivieren in unserer CA. Alexey hat nicht vergessen, dies in seinem Artikel zu erwähnen. … Wir führen den Befehl in der Befehlszeile mit Administratorrechten aus:

certutil -setreg policy EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2

Wir starten den Service neu:

net stop certsvc
Nettostart certsvc

Als Nächstes warten wir auf den Prozess der Generierung einer Anforderung für ein Zertifikat bei einer lokalen Zertifizierungsstelle.

Exchange 2013-Zertifikatanforderung

Wechseln Sie als Nächstes zum Exchange 2013-Verwaltungscenter und gehen Sie zu Zertifikaten, klicken Sie auf das Pluszeichen und erstellen Sie eine Zertifikatanforderung. Es ist einfach, aber nur für den Fall, dass ich es kommentieren werde.

lokales Zertifikat austauschen 05

Legen Sie einen Anzeigenamen für die Anfrage fest:

lokales Zertifikat austauschen 06

Kein Platzhalterzertifikat erforderlich, überspringen:

lokales Zertifikat austauschen 07

Wir speichern die Anfrage auf jedem Server. Wenn Sie einen Server haben, liegt die Wahl auf der Hand.

lokales Zertifikat austauschen 08

Dann kommt ein ziemlich entscheidender Moment und es wäre besser, beim ersten Mal alles richtig zu machen. Wenn das erste Mal nicht funktioniert, ist es in Ordnung, gehen Sie einfach noch einmal den ganzen Weg und füllen Sie Ihre Hand. Im Allgemeinen ist Exchange ziemlich intelligent und richtet fast immer alle benötigten Namen korrekt ein. Wenn Sie jedoch mehrere Server haben, müssen deren interne Namen manuell eingegeben werden, was ich auch getan habe.

lokales Zertifikat austauschen 09

Zusammenfassende Informationen überprüfen:

lokales Zertifikat austauschen 10

Wenn Sie an diesem Punkt angelangt sind, ist die Aufregung mit der Anfrage fast vorbei. In dieser Phase geben wir die Daten der Organisation ein. Sie können eingeben, was Sie möchten, aber es ist besser, dort aussagekräftige Informationen zu haben, wenn Sie ein Zertifikat für Ihren Arbeitgeber erstellen.

lokales Zertifikat austauschen 11

Wir bestätigen die Erstellung und das wars, wir haben eine Anfrage. Der Anfragetext wird benötigt, um ein Zertifikat zu erhalten. Wir sind weit davon entfernt, es zu entfernen. Wir geben im Browser in die Adressleiste ein: http: // CA / certsrv Wo DAS – die Adresse Ihrer örtlichen Zertifizierungsstelle. Der Prozess des Erhaltens eines Zertifikats kann auch oft in einer sehr detaillierten Form gefunden werden, aber nur für den Fall, dass ich noch jeden Schritt kommentieren werde, wird es nicht überflüssig sein.

Ausstellung eines Zertifikats

Speichern wir zunächst das Root-Center-Zertifikat, damit wir es später über Gruppenrichtlinien verteilen können (ich bin mir selbst ein wenig voraus):

lokales Zertifikat austauschen 17

lokales Zertifikat austauschen 18

Gehen Sie jetzt erneut zur Startseite der Zertifizierungsstelle, um das Exchange 2013-Zertifikat zu erhalten. Wir gehen in der Reihenfolge wie in den Screenshots vor:

lokales Zertifikat austauschen 12

lokales Zertifikat austauschen 13

lokales Zertifikat austauschen 14

lokales Zertifikat austauschen 15

Hier beginnt der Spaß. Ich muss die Zertifikatvorlage “Webserver” auswählen, hatte sie aber nicht in der Dropdown-Liste! Der Grund lag in den Rechten: Die Browsersitzung wurde als Benutzer ohne die Rechte eines Domänenadministrators oder eines Organisationsadministrators geöffnet. Aus irgendeinem Grund habe ich nicht den einfachen Weg eingeschlagen (einen Browser unter dem Domänenadministrator öffnen), ich hatte nicht einmal eine solche Idee und ich habe beschlossen, dem richtigen Benutzer die Rechte zu geben. Wechseln Sie dazu auf dem Zertifizierungsserver zum Snap-In “Zertifikatvorlagen” und suchen Sie nach der Webservervorlage. Danach geben wir in den Eigenschaften Ihrem Konto die erforderlichen Rechte:

lokales Zertifikat austauschen 19

Jetzt haben Sie alle Möglichkeiten, das erforderliche Zertifikat zu erhalten, indem Sie die Vorlage auswählen, für die Sie gerade die Rechte konfiguriert haben:

lokales Zertifikat austauschen 16

Wir hatten eine Zertifikatsanforderung in der EAC und haben ein Zertifikat bereit. Wir führen die Anfrage aus und weisen dem Zertifikat die notwendigen Leistungen zu (Stiftsymbol in EAC , im Folgenden “Dienste”, muss mindestens “SMTP » und “IIS »Wenn Sie die Änderungen speichern, werden Sie aufgefordert, das verwendete Zertifikat mit einem neuen zu überschreiben. Wir sind uns einig.)

Es ist erwähnenswert, dass dies nur der Anfang Ihrer Probleme ist, da das neue Zertifikat für Benutzer standardmäßig nicht zuverlässig ist und Outlook die Arbeit verweigert. Um das gesamte Unternehmen nicht ohne E-Mail zu verlassen (schließlich wird niemand raten, OWA zu betreten), werden wir das Zertifikat einfach über Gruppenrichtlinien verteilen. Wir benötigen kein Exchange 2013-Zertifikat (obwohl Sie es für das Unternehmen verschieben können, aber nicht sicher), sondern das Zertifikat der Stammzertifizierungsstelle, von der wir das Zertifikat für Exchange erhalten haben. Übrigens haben wir dieses Zertifikat früher gespeichert (siehe obigen Text) und Sie müssen es auch hier nicht mehr suchen. Im Gruppenrichtlinien-Snap-In (gpmc.msc – Computerkonfiguration – Windows-Konfiguration – Sicherheitsoptionen – Richtlinien für öffentliche Schlüssel – Vertrauenswürdige Stammzertifizierungsstellen) importiere das Zertifikat und das wars. Im Allgemeinen wird der Prozess selbst in einem guten Artikel ausführlich beschrieben. Für uns ist dies nicht das Hauptthema, und die Aufgabe ist im Großen und Ganzen abgeschlossen. Es wurde eine Exchange 2013-Zertifikatanforderung erstellt und ein neues Zertifikat ausgestellt.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *