Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)

In diesem HowTo beschreibe ich, wie eine Interne Zertifizierungsstelle installiert wird und wie man ein SAN-Zertifikat für Exchange 2013 ausstellen lassen kann. Dieses HowTo ist nicht für eine produktive Umgebung gedacht. Die Implementierung einer Zertifizierungsstelle muss sorgfältig geplant werden.

In meiner Testumgebung habe ich dazu 2 Windows Server 2012 Datacenter installiert, 1 DC + CA und ein Exchange Server 2013.

Es gibt zu beachten das nicht alle Funktionen der Zertifizierungsstelle zur Verfügung stehen, wenn die CA auf Server 2012 Standard installiert wird. Dieses HowTo gilt also nur für Zertifizierungsstellen die auf Windows Server 2012 Datacenter laufen.

Für Exchange 2010 und Server 2008 R2 findet sich das Howto hier: https://www.frankysweb.de/?p=456

Installation der Zertifizierungsstelle

Zuerst installieren wir die Zertifizierungsstelle auf einem geeigneten Server, für eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein. Über den “Server Manager” können über den Punkt “Verwalten” Rollen und Features hinzugefügt werden

image

Im folgenden Dialog wird die “Rollenbasierte oder Featurebasierte Installation” ausgewählt

image

Wenn mehrere Server zum Servermanager hinzugefügt wurden, lässt sich der Server auswählen, auf dem die Rolle installiert werden soll. In diesem Fall ist es der lokale Server “DC02”

image

Jetzt wird die Rolle “Active Directory Zertifikatsdienste” ausgewählt

image

Als Rollendienst wird in diesem Fall nur die Zertifizierungsstelle benötigt

image

Nach der Bestätigung zur Installation wird die Rolle installiert

image

Sobald die Rolle fertig installiert wurde, erscheint ein Hinweis zur Konfiguration der Rolle “Active Directory Zertifikatsdienste” im Servermanager

image

Nun wird die Rolle konfiguriert, sofern man als Domain Administrator angemeldet ist, müssen die Anmeldeinformationen nicht verändert werden

image

Im nächsten Dialog wird abgefragt welche Rolle konfiguriert werden soll, da nur die Zertifizierungsstelle installiert wurde, werden hier keine anderen Rollen angeboten

image

Jetzt kann ausgewählt werden, welche Art von CA installiert werden soll. Ich wähle Unternehmenszertifizierungsstelle damit die CA in das Active Diretory integriert wird

image

Da es sich in diesem Beispiel um die erste CA in der Hierarchie, also die Stammzertifizierungsstelle handelt, wird “Stammzertifizierungsstelle” als Typ ausgewählt

image

Sofern die CA nicht migriert wurde, kann ein neuer privater Schlüssel erstellt werden

image

Die Einstellungen zur Kryptographie belasse ich auf den Standardwerten. SHA-1 ist nicht unbedingt der beste Hashalgorithmus, aber am kompatibelsten, siehe hier: https://www.frankysweb.de/?p=363

image

Update: SHA1 wird ab dem 01.01.16 nicht mehr als Signaturhashalgorithmus unterstützt. Hier sollte besser gleich SHA256 gewählt werden.

Jetzt kann der Name der CA vergeben werden. Ich wähle “FrankysWeb-CA”. In der Standardeinstellung wird hier auch der Servername angegeben, allerdings könnte das für Verwirrung sorgen, wenn die CA auf einen anderen Server migriert wird. Daher empfiehlt sich hier ein allgemeiner Name.

image

Jetzt kann die Gültigkeitsdauer der CA festgelegt werden. Die Gültigkeitsdauer der CA sollte die Gültigkeitsdauer der auszustellenden Zertifikate übersteigen. Ich wähle hier 20 Jahre, alternativ könnte man auch den Wert “JahrebiszurRente” nehmen.

image

Im nächsten Dialog kann der Speicherort der Datenbank und der Logs angegeben werden. Die Pfade können nach belieben angepasst werden. Ich belasse sie in der Standardeinstellung

image

Als nächstes wird eine Zusammenfassung der Einstellungen angezeigt, die mit “Konfigurieren” bestätigt werden kann

image

Sobald die Konfiguration der CA abgeschlossen ist, findet sich im Startmenü der Eintrag “Zertifizierungsstelle”

image

Anpassen der Zertifikatsvorlage für Exchange SAN Zertifikate

Zunächst erstellen wir eine neue Vorlage, dazu in der MMC per Zertifizierungsstelle auf Zertifikatsvorlagen rechtsklicken, dann auf “Verwalten”

image

Jetzt die Vorlage Webserver suchen und auf “Vorlage duplizieren” klicken

image

Als Name der neuen Vorlage wähle ich “Exchange Server Zertifikate” mit einer Gültigkeit von 2 Jahren

image

Um später alle DNS-Aliase der Exchange Server einzutragen muss der Haken bei “Vom Antragssteller zugelassene symmetrische Algorithmen einbeziehen” auf dem Reiter “Anforderungsverarbeitung” aktiviert werden. Wer das Zertifikat später exportieren möchte sollte außerdem den Haken bei “Exportieren von privaten Schlüssel zulassen” setzen.

image

Auf dem Reiter Sicherheit bekommt die Gruppe “Exchange Servers” Vollzugriff auf die Vorlage, auch der Gruppe Domänen Admins erteile ich Vollzugriff. Danach kann mit einem Klick auf “Übernehmen” die Vorlage gespeichert werden

image

Zurück in der MMC Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefügt werden, dazu Rechtsklick auf “Zertifikatsvorlagen” –> “Neu” –> “Auszustellende Zertifikatsvorlage”. Im nächsten Dialog wird die Vorlage “Exchange Server Zertifikate” ausgewählt und hinzugefügt.

image

Beantragen eines SAN-Zertifikats für Exchange

Wer direkt im Anschluss ein neues Zertifikat beantragen möchte, sollte vorher die Gruppenrichtlinien aktualisieren, damit das Stammzertifizierungsstellenzertifikat installiert wird. Auch Certutil /pulse kann nicht schaden, damit die Registrierungsrichtlinie angezeigt wird.

gpupdate /force

certutil /pulse

image

Jetzt kann eine leere MMC geöffnet werden, zu der das Snap-In “Zertifikate” für den lokalen Computer hinzugefügt wird. Unter dem Punkt “Eigene Zertifikate” –> “Zertifikate”, kann über den Menüpunkt “Alle Aufgaben” –> “Neues Zertifikat anfordern” das neue Zertifikat für Exchange beantragt werden.

image

Im darauffolgenden Dialog sollte jetzt die Active Directory-Registrierungsrichtlinie angezeigt werden.

image

Nach einem Klick auf “Weiter” wird die eben erstellte Vorlage angezeigt, Haken setzen und auf “Es werden zusätzliche Informationen…” klicken

image

Im Abschnitt Antragsteller müssen die grundlegenden Informationen angegeben werden:

  • Organisation (Firmenname)
  • Land
  • Organisationeinheit (IT,EDV…)
  • Allgemeiner Name (aus Kombatibilitätsgründen am der externe Zugriffsname, also owa.frankysweb.de)

Achtung:

Im Abschnitt “Alternativer Name” können/müssen nun DNS-Namen hinzugefügt werden unter denen auf Exchange zugegriffen wird, diese Einstellungen sind abhängig von der Exchange Konfiguration. Die DNS Namen müssen je nach Umgebung die internen Zugriffsnamen „(owa.frankysweb.local) und die externen Namen, also die Namen unter den Exchange über das Internet erreichbar ist (owa.frankysweb.de) enthalten. In dem Screenshot weiter unten sieht man das ich die jeweiligen Exchange Dienste, alle unter separaten DNS-Namen veröffentliche (EAS, OWA, EWS…) Man kann die Dienste auch unter einem Namen zusammenfassen, wie zum Beispiel mail.frankysweb.de/local. Wer es sich ganz einfach machen will, kann an dieser Stelle auch *.frankysweb.local und *.frankysweb.de eintragen. Dabei handelt es sich um ein Wildcard Zertifikat welches alle Hosts die auf frankysweb.local oder frankysweb.de hören akzeptiert. Man sollte sich also VORHER Gedanken machen unter welchen Namen die Exchange Dienste veröffentlicht werden. Ebenfalls sollte der Eintrag autodiscover.frankysweb.de/local nicht fehlen.

image

Auf dem Reiter “Allgemein” kann noch ein Anzeigename für das Zertifikat vergeben werden, dieser dient nur zur leichteren Identifikation.

image

Nachdem alle Informationen eingegeben wurden, kann das Zertifikat beantragt werden.

image

Wie oben erwähnt habe ich für jeden Dienst einen eigenen DNS Eintrag, in meiner Testumgebung leite ich Port 443 direkt von der Firewall auf den Exchange Server weiter. Ich habe also keinen Reverse Proxy der nur unter dem externen Namen erreichbar ist. Ich kann dieses Verfahren nur in Testumgebungen empfehlen, in produktiven Umgebungen sollte ein Reverse Proxy/Application Firewall dem Exchange Server vorgeschaltet sein.

image

Exchange Dienste an das neue Zertifikat binden

Damit auch die UM DIenste von Exchange 2013 das Zertifikat akzeptieren, muss vor dem Zuweisen der Dienste der Startmodus geändert werden. Der Startmodus kann über die Exchange Management Shell geändert werden

Get-UMservice | Set-UMService -UMStartupMode dual

Set-UMCallRouterSettings -UMStartupMode dual

In der Exchange Verwaltungskonsole sollten wir jetzt bereits ein gültiges neues Zertifikat angezeigt bekommen, diesem Zertifikat müssen noch die Exchange Dienste zugeordnet werden. Das Zuordennen der Dienste, kann auch über die Konsole erledigt werden

image

Das erstellte Zertifikat ist gültig für alle Exchange Dienste

image

Der Warnhinweis weist darauf hin, dass das Zertifikat getauscht wird, er kann mit “Ja” bestätigt werden

image

Wenn alles geklappt hat, sollte die Konsole nun so aussehen:

image

Zum Schluss noch die Dienste “Microsoft Exchange Unified Messaging” und “Microsoft Exchange Unified Messaging Call Router” neustarten, damit auch dort die Änderungen wirksam werden.

image

Das Zertifikat der Stammzertifizierungsstelle wird automatisch an alle AD-Mitglieder verteilt. Sobald die

GPOs aktualisiert wurden, sollten alle Clients dem Zertifikat vertrauen und sofern die DNS-Namen richtig konfiguriert wurden, auch keine Warnungen mehr angezeigt werden. Damit auch Smartphone und Clients außerhalb des Active Directorys dem Zertifikat vertrauen, muss das Stammzertifizierungsstellenzertifikat installiert werden. Das Zertifikat findet sich auf dem Server der die CA-Rolle innehat im Verzeichnis c:\Windows\System32\CertSrv\CertEnroll.

54 thoughts on “Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)”

  1. Hallo Frank,
    auf einen Sever 2019 komme ich bis zu dem Punkt, an dem Active Directory-Registrierungsrichtlinie angezeigt wird und ich nach weiter, die erstellte Zertifikatsvorlage sehen müsste.
    Diese wird nicht angezeigt. Setze ich das Häkchen bei „Alle Vorlagen anzeigen“, wird die Vorlage „Exchange Server Zertifikate“ sichtbar mit rotem X. Status nicht verfügbar: Die Berechtigunen auf dieser Zertifikationsvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertifikatstyp einschreibt. Sie besitzen keine Berechtigung zum Anfordern dieses Typs von Zertifikat.
    Ich habe die Vorlage auf dem DC als Administrator erstellt und bin wie hier beschrieben vorgegangen.

    Reply
    • @Karlheinz Scholl: Das hatte ich auch, stellst Du die Anforderung denn uah auf dem Exchange? Nicht auf der CA machen ;) daran stockte ich auch kurzfristig……. :)

      @ Franky: für Exchange 2019 funzt die:
      Get-UMservice | Set-UMService -UMStartupMode dual

      Set-UMCallRouterSettings -UMStartupMode dual
      nicht. Gibt es da eine alternative?

      Lieben Gruß
      René

      Reply
  2. Hallo Frank,

    ich habe das Problem, dass ich bei jedem Start von Outlook die Meldung erhalte, dass der Name ungültig ist (webmail.XYC.de).

    Der Server heißt im AD SRV-VM-EX01.XYZ.de

    Extern und auch intern ist er als webmail/autodiscover.XYZ.de erreichbar.

    Das Zertifikat ist wie oben beschrieben ausgestellt, als CN=webmail.XYZ.de und als Alternativen autodiscover.XYZ.de und SRV-VM-EX01.XYZ.de

    Ich steh im Moment total auf dem Schlauch.

    Reply
  3. Hallo,

    vielen Dank für den sehr ausführlichen Bericht.
    Eine Frage ist bei mir etwas offen geblieben.
    Wie verhält es sich denn wenn ich keinen Split DNS nutze sondern lokal ad.domain.tld und öffentlich dann eben domain.tld verwende?

    Zusätzlich interessiert mich natürlich wie ich die (Sub-)Domain beim Hoster konfiguriere.
    Kann ich hier einen CNAME Eintrag erstellen der auf den DynDNS Dienst verweist?
    Wie sollte das optimalerweise aussehen.

    Besten Dank & Gruß

    Saskia

    Reply
    • Hallo Saskia,
      du musst in deinem Fall kein Split DNS verwenden, sondern lediglich die URLs entsprechend konfigurieren. Denkbar wäre hier ausschließlich die domain.tld für die Exchange URLs zu verwenden. Beim Hoster mit CNAMES zu arbeiten wird eher schwierig, in diesem Fall müsste das Zertifikat den DynDNS Namen und den Namen des CNAMES enthalten (mit der internen PKI zwar möglich, mit öffentlichen PKIs allerdings sehr teuer).
      Ich würde hier (je nach Konzept) Exchange auf bspw outlook.domain.tld (und autodiscover.domain.tld) konfigurieren und auch nur das Zertifikat für diese Namen ausstellen, sofern dein Hoster SubDomains mit dynamischer Aktualisierung zulässt (Strato macht dies als Beispiel), bist du fein raus.
      Gruß, Frank

      Reply
  4. Hallo Franky,
    ich habe ein Problem mit der Erstellung. Nachdem ich das Duplikat erzeugt habe, wird es nicht in der Active Directory-Registrierungsrichtlinie angezeigt. Obwohl die im Vorfeld erzeugten alle sichtbar waren und abgeschlossen werden konnten.
    Was ist da „schief gelaufen“?
    Danke für Deine Antwort

    Reply
  5. Hallo,
    Wir haben hier ein selbsterstelltes ROOT CA Zertifikat für Exchange. Auf IPhone und Windowsphone kein Problem sich mit dem Exchangedienst zu verbinden. Bei Google Android möchte er aber ein PKSC#12 mit .PFX oder .P12 Schlüssel was wir nicht haben. Wir haben halt nur das .CRT Zerti. Kann mir jemand weiterhelfen, wie ich das mit Android Handys hinbekomme? Habe bisher keine Lösung im Inet gefunden.

    Gruss
    Peter

    Reply
  6. Hallo in die Runde und an Frank,

    ich habe ein Prblem und eine Idee, weiß aber nicht, ob man es so lösen kann, wie ich mir das vorstelle. Wir haben Exchange 2013 auf 2012 R2 Standard und das Prblem, dass wir mit unseren Kunden verschlüsselt mailen wollen und ab Mai 2018 auch müssen (Steuerberater). Die meisten Mandanten haben aber keine Lust auf offizielle Zertifikate und das Ganze drum herum und lassen den datenschutz an dieser Stelle eher etws schleifen.

    Meine Idee ist die, ob es machbar ist, dass wir ein zentrales Zertifikat auf unserem Server für alle Mitarbeiter haben und den Mandanten ein eigenes Zertifkat ausstellen können, um sicher zu verschlüsseln ohne über offizielle Zertifizierungsstellen zu gehen.

    Der Mandant bekommt von uns ein Zertifkat, was er an eine vorher festgelegte Mailadresse bindet und kann dann eben nur die Mails mit uns verschlüsseln. Unser Zertifikat sollte auf *.domäne.de laufen, damit nicht jeder Mitarbeiter mit jedem Mandanten die Key tauschen muss.

    Denk ich da zu einfach oder gibt es eine Möglichkeit?

    Danke im Voraus

    Frank

    Reply
    • @Frank Pfeiffer
      wäre zu einfach wenn das Ginge. Um sowas zu machen brauchst Du schon was offizielles und das muss dann auch noch Wildcard sein. du kannst nicht einfach von eurer CA für fremde E-Maildressen Zertifikate. 1. Ist das fraglich ob der Exchange das mit macht und 2ten kannst du rein rechtlich in Teufels Küche kommen wenn mal was ist. Wenn der Schaden der entsteht durch ein nicht sicheres Zertifikat hoch genug ist, bist dein Job los und wenn das dann auch noch ans Licht kommt das du verantwortlich dafür warst ist´s vorbei mit it. Also wäre ich da ganz vorsichtig. Und Außerdem wenn dein Chef das Eng sieht kann er dich wegen Fahrlässigkeit auch noch persönlich dran kriegen. Also da würde ich in der Produktivumgebung kein Risiko eingehen. Solange die Mails Firmenintern bleiben, kann man sowas mal machen aber sowie externe dran hängen Finger weg von Solchen Experimenten

      Reply
  7. Hallo Leute,

    zuerst einmal => Frank, das ist ein tolles Tutorial!!

    Ich habe aber gerade gut 2 Stunden Lebenszeit verloren, weil ich zwei Dinge nicht beachtet habe:

    – Ich habe zwar der Gruppe DomänenAdministratoren volle Rechte gegeben aber nicht beachtet, dass der domain\Administrator auch einzeln aufgeführt war und nur Leserechte hatte. Ich musste ihm also explizit die vollen Rechte zuweisen.
    – Der zweite Fehler war total blöd (!!). Das neue Zertifikat für den Exchange-Server auf der Basis der Vorlage muss natürlich AUF DEM EXCHANGE-SERVER SELBST beantragt werden und nicht auf dem Server, der die CA hält. Das ist eigentlich klar aber wenn man so ein schönes Tutorial hat, vergisst man manchmal zu denken…

    Das nur für die, die vielleicht auch in diese Fallen tappen.

    Reply
  8. Ist ja eigentlich gar nicht so schwer:

    Get-UMservice | Set-UMService -UMStartupMode tcp
    Set-UMCallRouterSettings -UMStartupMode tcp

    ausgeführt und der Fehler ist wieder behoben .)

    Evtl haben wir hier einfach seit dem letzen Upgrade eine andere Voraussetzung?

    Reply
  9. Moin,

    ich habe artig nach der Erstellung der Zertifizierung folgende Befehle in der EX MS ausgeführt
    „Get-UMservice | Set-UMService -UMStartupMode dual
    Set-UMCallRouterSettings -UMStartupMode dual“

    Nun erhalte ich leider den Fehler das diese Dienste komplett nicht mehr starten.
    – MSExchangeUMCR
    – MSExchangeNotificationBroker
    – MSExchangeUM

    Ein Neustart hat hierbei auch nichts weiter bewirkt.

    folglich erscheint nun leider auch im EX Administration Center – Unterpunkt Server – Unterpunkt Zertifikate
    das davor erstellte Zertifikat nicht.

    Wie mache ich diese Befehle rückgängig?
    Wie sorge ich dafür, dass die Dienste wieder arbeiten?

    Diese beiden Befehle haben bei mir dazu geführt, dass ein frisch installierter Server, mit autarkem CA nun nicht mehr reagieren :(

    Bitte um Hilfe !!!

    Reply
  10. Hallo zusammen,

    ich sehe unter certsrv leider nicht den Ordner Zertifikatsvorlagen. Hat jemand eine Idee warum?

    Reply
  11. Hallo Frank,
    Ich kann auch nicht die Vorlage instalieren. Daher anbei zwei Frage:
    Frage A:

    Zitat: . ..“

    Frank sagt:
    21. August 2015 um 20:38
    Hi,
    kann es sein das du vergessen hast auf dem Reiter Sicherheit in der Vorlage das Computer Konto hinzuzufügen, bzw die entsprechende Gruppe anzugeben?
    Gruß, Frank

    „… Zitatende

    Was meinst Du damit genau mit „Computer Konto“ ?

    Frage B:

    Zitat: …“

    Frank sagt:
    27. Oktober 2016 um 21:26
    Hi,
    du hast vergessen die entsprechenden Berechtigungen für die Vorlage zu vergeben. Die Gruppe Exchange Trusted Subsystem benötigt „Registrieren“ und „Lesen“ Rechte auf der Vorlage.
    Gruß, Frank “ … Zitat Ende

    Bei mir habe ich genau die Gruppen angegeben, die oben bei dir im screenshot zu sehen sind.
    Fehlt also noch eine Gruppe (Exchange Trusted Subsystems) ?

    Ziel ist es eigentlich, das Problem mit der „verstekten“ EAC zu beheben (also die von Dir an anderer Stelle vorgestellten Möglichkeit, die EAC und Adminconsole zu“teilen“).

    Danke und Grüße

    Reply
  12. Hallo Frank, mal ne frage wir haben eine neue interne url zu bekommen und ich bruch ein neues zertifikat, funktioniert die geschichte auch im laufenden betrieb wenn ich die nur die url zu nehme und die alten urls übernehme ? Oder muss ich das ding komplett neu aufziehen ?

    Reply
    • Hi Oliver,
      das Zertifikat lässt sich um laufenden Betrieb tauschen. Die URLs würde ich vielleicht nicht mitten im Tagesgeschäft ändern.
      Gruß, Frank

      Reply
  13. Hallo,
    die Frage wurde schon gestellt, aber leider nicht beantwortet. Auch sonst finde ich keine Lösung. Was man im Netz findet, bezieht sich leider auf 2008R2.

    Die angepasste Zertifikatsvorlage wird nicht angeboten in der MMC Zertifizierungsstelle unter „Neu auszustellende Zertifikatsvorlage“. Auch nicht nach langem Warten.
    Meine Zertifizierungsstelle ist auf einem Server 2012 R2 Standard, der auch DC ist.

    Gibt es einen Ansatz, die Vorlage nutzbar zu machen?

    Reply
  14. Guten Morgen Frank,

    ich hoffe Du kannst mir helfen.
    Was mach ich falsch, wenn in der Active Directory-Registrierungsrichtlinie die Zertifikatsanforderung nicht erscheint? Wenn ich „Alle Anzeigen“ wähle und nach unten scrolle…ist es vorhanden. Doch ich kann augenscheinlich aufgrund fehlender Rechte nichts auswählen.

    Ich bin auf der erstellten CA, die auch Domänenmitglied ist als Domain-Admin angemeldet (habe ich vorher auch im Reiter Sicherheit aufgenommen).
    Hättest Du eine Idee?
    Danke
    Gysbert

    Reply
    • Hi,

      du hast vergessen die entsprechenden Berechtigungen für die Vorlage zu vergeben. Die Gruppe Exchange Trusted Subsystem benötigt „Registrieren“ und „Lesen“ Rechte auf der Vorlage.
      Gruß, Frank

      Reply
  15. Klasse Anleitung.
    Kann mir vielleicht einer verraten warum ich bei meinem Exchange2013 mich bei manchen Konten per Handy anmelden kann und mir manchen nicht?? Kann es sein das das Zertifikat nur manchen Postfächern zugeordnet ist??

    Reply
  16. Ich habe in meinem Zertifikat kein Autodiscover.xxx.local eingetragen.
    Jetzt habe ich ein Postfach Migriert, kann mich über OWA anmelden aber mein Outlook 2013 findet den neuen Exchange 2013 nicht.
    Kann es sein, dass autodiscover.xx.local fehlt?
    Meine Domäne lautet xxx.locall

    Reply
  17. Hallo Frank,

    ich habe versucht den Zertifikat hinzuzufügen aber da scheitert es schon bei der Management Shell bei diesen Befehl: Get-UMservice | Set-UMService -UMStartupMode dual.

    folgender Fehler:

    Get-UMService : The term ‚Get-UMService‘ is not recognized as the name of a cmdlet, function, script file, or operable
    program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
    At line:1 char:1
    + Get-UMService | Set-UMService -UMStartupMode dual
    + ~~~~~~~~~~~~~
    + CategoryInfo : ObjectNotFound: (Get-UMService:String) [], CommandNotFoundException
    + FullyQualifiedErrorId : CommandNotFoundException

    mfg Aria

    Reply
  18. Hallo Frank,

    beim Vorgang für die Erstellung eines Exchange2012-Zertifkates scheitert es immer an einer bestimmten Stelle. Und zwar die, dass ich in der Konsole (nach Zertifikate/Computer hinzufügen) in der Zertifikatsregistrierung…beim Weiterklicken ich die Info bekomme: „Zertifikatstypen sind nicht verfügbar“.
    Klicke ich auf „Alle Vorlagen anzeigen“, kann ich keine Möglichkeit anwählen. Unter „Webserver“ steht, dass ich nicht die Berechtigung hätte. Ich bin an der Sub-CA als Domäne-Admin angemeldet.

    Kannst Du mir einen Tip geben?

    DANKE und Dir einen schönen Jahresübergang
    Gysbert

    Reply
  19. Hallo Frank,

    nach Erstellung der CA erscheint bei mir in der certsrv „einfach kein Ordner – Zertifikatsvorlage“, sondern nur die „Fehlgeschlagenen, Ausstehenden, Ausgestellte und Gesperrte Zertifikate“.
    Ich habe dann in der Konsole den Webserver dupliziert und angepasst. Sehe ihn jetzt aber nirgends.
    Warum ist „Zertifikatsvorlage“ nicht vorhanden? Was habe ich falsch gemacht?
    DANKE wie immer

    Reply
  20. Ich hatte den gleichen Fehler: „Der angeforderte Antragstellername ist ungültig oder zu lang.“
    Ursache war ganz einfach, das Land wird nur als zweistellige Zeichenkette angenommen – also nur DE anstatt Deutschland.

    Vielleicht hilft es…

    Reply
  21. Hallo Frank,

    vielen Dank für das tolle Tutorial! Ich habe nach Deiner Anleitung in diesem Blog eine zweistufige PKI erstellt (Root offline – SuCa ist Domänenmitglied). Alles läuft soweit fehlerfrei!

    Jetzt möchte ich meinem Exchange ein neues Cert zur Verfügung stellen und gehe nach diesem Tutorial. Ich habe jetzt augenscheinlich gewissenhaft alles Step für Step erstellt – laufe dann aber immer wieder in den Fehler, dass das erstellte Zertifikat in der Zertifikatsregistrierung NICHT angezeigt wird, sondern nur „Computer“ und „Arbeitsstationsauthentifizierung“.

    Weißt Du wo bei mir der Fehler liegen könnte? Bin ratlos:-(
    DANKE und Gruß
    Gysbert

    Reply
    • Hi,

      kann es sein das du vergessen hast auf dem Reiter Sicherheit in der Vorlage das Computer Konto hinzuzufügen, bzw die entsprechende Gruppe anzugeben?

      Gruß, Frank

      Reply
  22. Das Zertifikat wurde jetzt erstellt, aber es wird in der Exchange Konsole nicht angezeigt.
    Beim manuellen Import kommt die Meldung, dass es da ist.
    dann habe ich in der Verwaltungsshell den Befehl Enable-ExchangeCertificate versucht da kam der Fehler:
    „Ein spezieller RPC-Fehler ist auf Server MAILSRV aufgetreten: Das Zertifikat mit dem Fingerabdruck
    ‚D1F3FA30B724D84BC027E5585348BB2F5F1209B4‘ wurde gefunden, ist jedoch für die Verwendung mit Exchange Server nicht
    gültig (Begründung: SigningNotSupported).“
    Wo ist der Fehler?
    Vielen Dank im Voraus.

    Reply
  23. Hallo Frank,
    ich habe mit Hilfe Deiner Anleitung versucht ein Zertifikat zu erstellen.
    Leider bekomme ich beim Registrieren eine Fehlermeldung:
    „Der angeforderte Antragstellername ist ungültig oder zu lang.“

    Was mache ich falsch?

    Reply
    • Eben mal schnell geklaut…. hier die Antwort auf deine Frage….hatte das auch, kurz gegoogelt und denke ist hier gut aufgehoben.

      Beim Versuch ein neues Zertifikat liefert die Windows Zertifizierungsstelle (Server 2008, SBS 2011) den Fehler:

      Der angeforderte Antragstellername ist ungültig oder zu lang (0x80094001)

      Vermutlich hat die CA das 64_Zeichenlimmit für Domains geerbt. Diese Limitierung kann mit:

      c:\> certutil -setreg ca\EnforceX500NameLengths 0

      abgeschaltet werden.

      Wenn Wildcard Zertifikate mit einer Windows CA unterschrieben werden sollen ist diese Einstellung ebenfalls notwendig.

      Reply
  24. Hallo MediaKrümel

    Gut Ding braucht Weile!
    Seit heute ist iOS 8.2 verfügbar und damit wurde das Zertifikatsproblem gelöst. Mein iPhone synchronisiert nun wunderbar! :)
    Dein Lösung habe ich leider nie umgesetzt – war mir etwas zu kompliziert! :)

    Reply
    • Hallo Franky,
      danke für Deinen Hinweis, werde ich bei Gelegenheit mal mit meinem Testserver ausprobieren.

      Da unser Chef ausschließlich mit iPAD und iPhone arbeitet, war ich im Juli letzten Jahres einfach gezwungen, diese zugegeben etwas kompliziertere Lösung zu suchen, die aber immer noch hervorragend in unserer Produktivumgebung funktioniert.

      Getreu dem Motto „never touch a running system“ ;-)

      Grüße und bis zum nächsten Mal.

      Reply
  25. Hallo Ralph, ich konnte zwischenzeitlich das Problem auf folgende Weise lösen:
    – im Exchange 2013 habe ich bei allen virtuellen Verzeichnissen zusätzlich die externe NO-IP-Adresse eingetragen (zB. name.no-ip.biz)
    – bei unserem Mailprovider (hier ALLINKL.COM) habe ich in den DNS-Einstellungen für unsere Maildomain einen SVR-Record „_autodiscover._tcp“ und „0 443 no-ip-Adresse“ sowie einen SNAME-Eintrag „autodiscover“ + no-ip-Adesse hinzugefügt
    – nach etwa einem halben Tag war unser Exchange 2013 von allen mobilen Geräten erreichbar.

    Noch ein wichtiger Tipp:
    Der mobile Nutzer darf NIEMALS irgendein Adminrecht innerhalb der Domäne besitzen! Exchange verbietet jegliche Administratoranmeldung von außerhalb der Domäne. Daran hatte ich mir 6 Wochen lang die Zähne ausgebissen, erst als ich mein Domänen-Konto als normalen Benutzer neu angelegt hatte, war die Anmeldung mit iPhone und Android problemlos möglich.

    Ich hoffe, die Tipps können helfen:-)

    PS: Durch die Microsoft vs. NO-IP Situation anfang Juli hat sich bei mir ein neues Problem aufgetan. Wir haben die no-ip-Domäne gewechselt, seither komme ich mit Outlook nicht mehr auf den Exchange (alle Einträge angepasst, neues Zertifikat erstellt). Bei dem Autoermittlungs-Check steht im Ergebnisfenster als Zertifikats-Pricipal immer noch die alte no-ip-Domäne drin, obwohl in den URLs korrekt die neue Domäne angezeigt werde. Ich glaube, dass hier die Ursache zu suchen ist, dass Outlook nach der Erstsynchronisation keine Verbindung mehr bekommt
    Alle Registry-Einträge auf Server und Clients gecheckt. Komme nicht weiter. Irgendeine Idee??

    Reply
  26. Habe das selbe Problem. Das iPhone lässt sich mit Exchange 2013 dyndns Adresse und eigener CA einfach nicht einbinden.

    Reply
  27. Hallo Frank, danke für das tolle Tut :-). Hat wirklich geholfen.
    Stehe jetzt vor einem Problem.
    2 x Server2012R2, Exch2013SP1, interne CA (mail.server.lcal, autodiscover.server.local…). Im Intranet läuft alles perfekt, selbst Outlook2007 habe ich per https an Exchange anbinden können.
    Aber…unser Außendienst kommt weder per Fritz!VPN noch per Dyndns (bei uns no-ip) auf den Exchange. OWA läuft – aber mit Zert-Warnung. Outlook, iPhone, iPAD haben keine Chance.
    Genügt es, ein neues Zert mit zusätzlich dem externen no-ip-Namen zu erstellen, oder kann ich ein zweites Zertifikat nur für den externen Zugriff erstellen?
    Ich möchte ungern den inzwischen produktiven Exchange Server mit falschem Zert „zerschießen“.
    Danke für Deine Mühe

    Reply
  28. Hallo,

    eine Frage, und zwar der Punkt: „Zurück in der MMC Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefügt werden, dazu Rechtsklick auf “Zertifikatsvorlagen” –> “Neu” –> “Auszustellende Zertifikatsvorlage”. Im nächsten Dialog wird die Vorlage “Exchange Server Zertifikate” ausgewählt und hinzugefügt.“

    Funktioniert bei mir so nicht ich sehe das erstellte Template nicht? Was mache ich falsch?!

    Vielen Dank im voraus
    Gruß Serzh

    Reply
    • Du hast den 2. Teil sicher auch auf Deinem Zert-Srv durchgeführt. Das muss aber auf dem Exchange Server angestupst werden:
      Öfnne dort die MMC, mit STRG-M wählst Du „Zertifikat“ hinzufügen und dann folgst Du wieder der *genialen* Anleitung.
      P.S. Ich bin auch zuerst nicht drauf gekommen… ;0)

      Reply

Leave a Comment