Hallo zusammen,
ich betreibe einen Exchange 2019 Standard - Server on premise, mit zwei Akzeptierten Domains und habe für eine Domain ein Wildcard-Zertifikat hinterlegt. Es funktioniert (Dank des Autodiscover-Whitepapers von Frank.) alles sauber, auch Autodiscover.
Nun kommen aber noch drei Domains dazu, die zwar nicht alle als Akzeptierte Domänen hinterlegt werden, aber andere Dienste abbilden, die jeweils auch ein Wildcard-Zertifikat erfordern werden.
Deshalb möchte ich ein Multi-Domain-Zertifikat erwerben. Der präferierte Anbieter sicherte mir zu, dass bei dem dort erhältlichen Multi-Domain-SSL-Zertifikat Wildcard-Einträge möglich sind.
Meine Frage: Was muss ich bei der Erstellung des CSRs auf dem Exchange-Server beachten? Wenn ich eine Zertifikatsanforderung für ein Wildcard-Zertifikat erstelle, kann ich (Zumindest über das Admin-Center.) nur eine Domain, also z.B. *.domain1.de, eintragen. Wenn ich nicht falsch liege, muss ich aber *.domain1.de, *.domain2.de, *domain3.de, *.domain4.de und *.domain5.de eintragen, oder?
Sobald das neue Zertifikat für den Exchange-Server hinterlegt ist, möchte ich es, inkl. Private Key, aus dem Zertifikatspeicher des Exchange-Servers als *.pfx exportieren, um es dann auch bei den anderen Webanwendungen und in der Firewall (Für den Reverse Proxy.) verwenden zu können.
Vielen Dank für jeden Tipp. :)
Hi,
ich meine über das Exchange Admin Center lässt sich kein Multidomain Zertifikat erstellen. Mit der Shell dürfte es aber klappen (Parameter -DomainName):
https://docs.microsoft.com/de-de/powershell/module/exchange/new-exchangecertificate?view=exchange-ps
Beste Grüße,
Frank
Vielen Dank für den Tipp. Nein, über das EAC geht das definitiv nicht.
Das müsste ja dann ungefähr so aussehen:
New-ExchangeCertificate -GenerateRequest -RequestFile "C:\Cert Requests\meins.req" -FriendlyName "Mein Multi Domain Zertifikat" -SubjectName "c=DE,o=Meine Firma,ou=IT,l=meineStadt,st=Brandenburg,cn=*.domain1.de" -DomainName *.domain2.de,*.domain3.de,*.domain4.de,*.domain5.de
Oder gehört die "*.domain1.de" dann auch zu "-DomainName" und ich lasse den CommonName ("cn") weg?
Jap, sieht auf den ersten Blick ganz gut aus, pack aber *.domain1.de auch zu "-DomainName". Den CN musst du angeben, da solltest du die "Hauptdomain" verwenden. Du erstellst ja auch erst einmal nur den CSR, wie es dann bei der CA aussieht kannst du beispielweise hier prüfen:
https://ssl-trust.com/SSL-Zertifikate/csr-decoder
Du erstellst da gerade ein MultiDomain Wildcard Zertifikat, für Exchange ist dies nicht erforderlich und die Zertifikate sind recht teuer, ggf. solltest du einmal prüfen ob das wirklich erforderlich ist.
Gruß,
Frank
O.K., kommt die "Hauptdomain" dann auch als Wildcard in den cn oder mit "www"?
Dass der Exchange-Server das nicht benötigt ist klar. Momentan habe ich da ja schon zwei Akzeptierte Domains und nur ein Wildcard-Zertifikat für die Hauptdomain. Wie gesagt, funktioniert auch Autodiscover dank Deines Whitepapers sauber.
Das Multi-Domain-Wildcard-Zertifikat brauche ich aus verschiedenen Gründen. Ich habe nur eine WAN-IP, auf der Firewall habe ich einen Reverse-Proxy konfiguriert, bei dem ich "nur" ein Zertifikat hinterlegen kann. Dahinter laufen aber mehrere Webserver, die auf unterschiedliche Domainnamen hören. (Eigentlich sind es nur drei Domainnamen, da der Preis für das Multi-Domain-Wildcard-Zertifikat aber bis 5 Domains der gleiche ist, nehme ich noch zwei Domains dazu, die ich perspektivisch brauchen werde.)
Der Exchange-Server braucht auf dem Zertifikat ja mindestens zwei Subdomains (Autodiscover und "Mail") und die anderen beiden Domains (Von denen eine nichts mit dem Exchange-Server zu tun hat.) haben auch Subdomains.
Ich bin natürlich offen für eine preisgünstigere Variante, aber ich befürchte das Multi-Domain-Wildcard-Zertifikat ist alternativlos.
Ah verstehe. den CN kannst du ebenfalls als *.domain.tld angeben (und auch in der Liste der SANs).
Vielen Dank. Ja, das werde ich so machen.
Von dem Zertifikatherausgeber habe ich noch den Tipp bekommen, dass "OU", also "Abteilung" bald nicht mehr in den CSR aufgenommen werden sollte. Die Abteilung ist für mich nicht wichtig, ich hätte es sonst nur der Vollständigkeit halber mit aufgeführt.
Ich habe jetzt den CSR per Powershell erstellt, das Zertifikat beantragt und auch schon ausgestellt bekommen.
Ich habe die Zertifikatsanforderung jetzt allerdings über das EAC abgeschlossen, auf die Konnektoren gebunden und im IIS hinterlegt, soweit so gut.
Nun wollte ich das Zertifikat aus dem Zertifikatsspeicher des Exchange-Servers als PFX exportieren, kann aber den Privaten Schlüssel nicht exportieren. Für Kunden habe ich bei diesem Zertifikatsanbieter schon oft (Allerdings normale Wildcard-Zertifikate.) Exchange-Zertifikate bezogen und nie dieses Problem gehabt.
Kann das vielleicht daran liegen, dass ich die Zertifikatsanforderung per Powershell erstellt, aber über das EAC abgeschlossen habe?
Kann das vielleicht daran liegen, dass ich die Zertifikatsanforderung per Powershell erstellt, aber über das EAC abgeschlossen habe?
Nö. Gehts denn per mmc? Hast du im request angegeben, dass der private key exportierbar sein soll?
Per MMC habe ich es probiert.
Beim Request per Powershell habe ich es nicht angegeben. Ist das erforderlich? Beim Request per EAC ist es nicht nötig, bzw. kann man es dort nicht auswählen.
Tjo. Wenn du den private Key nicht exportiert bekommst, hast du doch deinen Fehler. ;)
O.K., Du hast recht. :)
Also das ganze nochmal mit:
-PrivateKeyExportable
Der Zertifikatanbieter ist zum Glück sehr kulant.
Genau. Dann sollte dem nix im Wege stehen. :) zur Not gäbe es noch jailbreak, um das Zertifikat zu exportieren. ;) aber wenn’s mit deinem Weg geht, würde ich den auch nehmen.
Hallo
Also ich erstelle die Multidomain Wildcard Zertifikate immer via ECP. Ich generiere ein neues Zertifikat, wähle dann nicht "Stammdomäne" sondern füge bei den einzelnen DNS-Einträgen dann die ganzen Domänen hinzu. Der Request funktioniert dann problemlos bei unserem Zertifikatsanbieter (Comodo).
Gruss
Erstmal vielen Dank, mit dem korrekten CSR hat es jetzt auch funktioniert :)
Hallo
Also ich erstelle die Multidomain Wildcard Zertifikate immer via ECP. Ich generiere ein neues Zertifikat, wähle dann nicht "Stammdomäne" sondern füge bei den einzelnen DNS-Einträgen dann die ganzen Domänen hinzu. Der Request funktioniert dann problemlos bei unserem Zertifikatsanbieter (Comodo).
Gruss
Da hatte ich auch schon dran gedacht, war mir aber nicht sicher, ob das so funktioniert.
Funktioniert bei Deiner Vorgehensweise auch hinterher der Export des Privaten Schlüssels?
Hallo
Also ich erstelle die Multidomain Wildcard Zertifikate immer via ECP. Ich generiere ein neues Zertifikat, wähle dann nicht "Stammdomäne" sondern füge bei den einzelnen DNS-Einträgen dann die ganzen Domänen hinzu. Der Request funktioniert dann problemlos bei unserem Zertifikatsanbieter (Comodo).
Gruss
Da hatte ich auch schon dran gedacht, war mir aber nicht sicher, ob das so funktioniert.
Funktioniert bei Deiner Vorgehensweise auch hinterher der Export des Privaten Schlüssels?
Hallo, ja das funktioniert problemlos. Kannst Du via MMC machen.
https://www.digicert.com/easy-csr/exchange2010.htm geht immer und im ausgegebenen PS kann man auch gleich noch -friendlyName mit einbauen, dann heißen die Zertifikate wenigstens sinnvoll. ;) Der Wizard in der EAC ist in meinen Augen unnötig umständlich.