NAch einigem hinundher habe ich jetzt für den Exchange Server ein LetsEncrypt zertifikat erzeuegn können, was auch ganz hervorragend funktioniert.
Und es funktioniert nicht nur für Exchange ganz hervorragend, sondern mit minimaler Handarbeit auch auf Laptops um den VPN-Zugang per SSTP zu gewährleisten.
Im Einzelnen:
- Export des Zertifikates der Webseite in eine Datei
- Import in die vertrauenswürdigen Stammzertifizierungsstellen auf dem Laptop
- Konfigurieren des RRAS-Servers auf die verwendung des zertifikates von der Webseite
Damit fluppt es prima.
Allerdings denke ich, daß die Freude wahrscheinlich in 3 Monaten ein Ende hat, nämlich wenn das LetsEncrypt-zertifikat ausläuft.
Wenn ich das prinzip richtig verstanden habe, dann wird das LetsEncrypt-Zertifikat neu erzeugt und nicht verlängert - richtig?
Falls doch verlängert, dann sollte das zertifikat doch immer seine Gültigkeit behalten und ich bekomme keine Probleme mit meinem SSTP - oder?
Wenn ich alle 3 Monate ein neues zertifikat bekomme, dann suche ich nach einem mechanismus per Skript ...
- Das zertifikat auf dem RRAS-Server auf das neue zu ändern
- Das neue zertifikat auf die Laptops zu bringen. Das dürfte per GPO gehen
- Am besten die alten Zertifikate löschen
geht sowas und wenn ja wie ?
gruss Nico
Hallo Nico,
der Import des LE Zertifikats in die Stammzertifizierungsstellen auf dem Laptop dürfte eigentlich nicht erforderlich sein. Somit müsstest du schon mal ein Problem weniger haben. Alle 3 Monate musst du ein neues Zertifikat von LE anfordern und damit auch dem RRAS Server zuweisen. Beides kannst du via PowerShell per Script durchführen lassen.
Gruß,
Frank