Guten Morgen,
heute steht bei uns der Zertifikatstausch des internen Exchange-Servers an, der auch über die Firewall erreichbar ist. Im Zuge dessen, passen wir auch die URL's der virtuellen Verzeichnisse an, um hier eine ordentliche Struktur zur bekommen. Wir haben entsprechend ein Wildcardzertifikat bei SwissSign erworben. Ich würde gerne wissen, ob die folgenden Schritte, vollständig sind, oder ob ich was vergessen habe. Natürlich wurde bereits im internen DNS die neuen Einträge gesetzt und auch im externen DNS (IONOS) wurde die Zone um die neuen Einträge erweitert. Auch haben wir den Reverse Proxy der Firewall bereits vorbereitet.
1. Anpassen der virtuellen Verzeichnisse in Verwendung des Powershell Scripts von Franky aus dieser Anleitung: https://www.frankysweb.de/howto-migration-von-exchange-2013-zu-exchange-2019-teil-1/
2. Installation des Wildcardzertifikats via MMC (ist bereits erfolgt)
3. Zertifikat dem IIS zuweisen
4. Zertifikat mit dieser Anleitung dem SMTP Connector zuweisen: https://www.medvs.com/exchange-2016-2019-smtp-connector-und-wildcard-san-zertifikate/
5. Zertifikat mit diesem Befehlt auch POP und IMAP zuweisen
Set-POPSettings -X509CertificateName outlook.example.de Set-IMAPSettings -X509CertificateName outlook.example.de
6. Server Neustart durchführen
7. Testen Outlook am Client
8. Testen Outlook auf den mobilen Endgeräten (iOS) innerhalb des WLANs und außerhalb
Habe ich was vergessen?
Wir haben entsprechend ein Wildcardzertifikat bei SwissSign erworben
Warum? Zuviel Geld, oder wißt ihr nicht, wie eure Hostnamen heißen sollen/werden? ;)
2. Installation des Wildcardzertifikats via MMC (ist bereits erfolgt)
Falsch. Exchange Zertifikate immer per Exchange Powershell importieren. Gibt genug Threads, die hier schon festgestellt haben, dass man sonst das SMTP Binding nicht richtig hinbekommt.
3. Zertifikat dem IIS zuweisen
Falsch, auch das macht man NUR in der Exchange Powershell oder in der EAC.
5. Zertifikat mit diesem Befehlt auch POP und IMAP zuweisen
Richtig, aber nur notwendig, weil ihr ja unbedingt ein Wildcard Zertifikat kaufen wolltet.
6. Server Neustart durchführen
Nicht notwendig.
Habe ich was vergessen?
Steht keine WAF oder Loadbalancer mit SSL Offloading/Re-Encrypting vor deinem Exchange? Falls nein dann nichts vergessen, falls ja dann muss dasselbe neue Zertifikat auch dort gebunden werden. Übrigens Pfade anpassen sollte man erst, wenn das Zertifikat schon gebunden ist und wenn die Pfade vorher in einer anderen Domain standen als jetzt im Wildcard, dann wird es auf Fehlermeldungen hinauslaufen.
Bye
Norbert
Zu viel Geld wäre schön.
Mein Chef war etwas voreilig mit dem Kauf. Ich konnte das jetzt aber zurückgeben und habe ein Multi-Domainzertifikat erworben.
Dank deines Hinweises, habe ich dieses dann auch via Exchange Shell eingelesen.
Um dieses dann zu aktivieren, reicht dieser Befehl (ich werde den Fingerprint entsprechend setzen)
Enable-ExchangeCertificate -Server "EX2019" -Thumbprint "XXXX" -Services POP,IMAP,SMTP,IIS
Wir haben kein "WAF oder Loadbalancer mit SSL Offloading/Re-Encrypting" und müssen daher hier nichts beachten. Wie gesagt, in der Firewall und dem dortigen Reverse Proxy ist bereits alles hinterlegt und vorbereitet. Bei den Pfaden änder sich nur das HOSTNAMEEXCHANGE.example.de zu outlook.example.de mehr nicht. Also keine Domainänderung, nur der Hostname Teil.
Wie gesagt, in der Firewall und dem dortigen Reverse Proxy ist bereits alles hinterlegt und vorbereitet.
Der Reverse Proxy braucht dieses Zertifikat auch. Oder was verstehst du unter Reverse Proxy?
nur das HOSTNAMEEXCHANGE.example.de zu outlook.example.de mehr nicht. Also keine Domainänderung, nur der Hostname Teil.
dann werden die Clients eine Fehlermeldung erhalten, wenn nicht der alte Hostnamen noch mit im san steht. Den kannst du erst bei der nächsten Verlängerung entfernen. ;)
@norbertfe Würde das was ändern, wenn ich bei denen das Profil neu erstelle?
Oder kann ich irgendwie erzwingen, dass sie den neuen URl nutzen?
Na sie müssen halt einmal die Fehlermeldung mit ja bestätigen. Da man Nutzern aber eigentlich erklärt, dass sie bei Zertifikatsfehlermeldungen eben nicht einfach zustimmt, ist das in meinen Augen kontraproduktiv. Neues Profile würde helfen, aber wenn man 1000 Nutzer hat, wärs ne Menge Arbeit. ;) sinnvollste Lösungen wäre, den alten Namen vorübergehend auch im neuen Zertifikat zu führen.
:-) oh sehr gut.
Na dann wende ich mich nochmal an SwissSign und lass das Zertifikat nochmal ändern. Ist ja erst das 3. Mal.
Wir warten gespannt ;)
Wir durften ein neues Ausstellen, dann sollte ja nichts mehr im Weg stehen für die Umstellung.