Exchange Zertifikat abgelaufen

[Michi777]

Liebe Community!
Heute ist das Exchange Zertifikat abgelaufen, welches notwendig ist für externen Mailabruf wie durch Smartphone/Outlook anywhere.
Ich hatte erst einmal und vor langer Zeit das Vergnügen ein Exchange Zertifikat erneuern zu müssen, daher die Anfrage aus zu wenig Erfahrung dazu.
Somit aus dem LAN oder mit VPN Tunnel funktioniert es aktuell.
Bereits in 3 Wochen wird dieser Server (SBS2011/Exchange2010) durch einen Neuen (Server2019/Exchange 2016) ersetzt.

Fragen:
1)Muss ich trotz der kurzen Überbrückungszeit ein Zertifikat kaufen oder kann ich da was selbst ausstellen oder tricksen?

2)Falls ich eines brauche, Welches am Besten und woher?

3)Wie spiele ich das Zertifikat am Einfachsten ein, hab dabzgl soweit keine Erfahrung.

Sollte es nach Möglichkeit noch heute Nacht (Sonntag) erledigt haben.

Fehlermeldungen im Anhang (aus Client mit Outlookanywhere außerhalb des LAN'S bzgl autodiscover.domäne.at).

Vielen Dank im Voraus!

 

[xexex]

Ich würde an deiner Stelle die Adresse schwärzen...

Wir kaufen unsere Zertifikate immer bei GoDaddy, "zur Not" tuts aber auch ein Lets Encrypt Zertifikat.
https://de.godaddy.com/web-sicherheit/ssl-zertifikat

Du kannst ein selbst signiertes Zertifikat ausstellen, aber das klappt mit vielen Smartphones nicht auf Anhieb und auf PCs/Notebooks müsstest du das Zertifikat überall zu den Stammzertifizierungsstellen hinzufügen.

Denk daran! Wenn du ein Zertifikat kaufst und wirklich brauchbar nutzen willst, solltest du neben dem Servernamen "mail" auch noch "autodiscover" abdecken. Also entweder ein Zertifikat mit 5 Namen kaufen (Schutz mehrerer Websites) oder gleich ein sogenanntes Wildcard Zertifikat besorgen (*.hd-architekten.de), das kannst du dann für zig weitere Dienste nutzen.

Anleitungen gibt es genug im Internet, da spare ich mir es selbst hier nochmal zu erklären.
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/

 

[Rego]

Was hält Dich davon ab, das Zertifikat dann nach dem Umzug weiter zu verwenden?

 

[RalphS]

Nur Mitarbeiter oder auch externe Kunden, insbesondere unbekannte?

intern: per eigenerCA und Key Rollover, wenn das noch geht (da abgelaufen).
Anderenfalls externer Anbieter, wobei ich mich frage, wo das aktuelle Zertifikat herkommt. Normalerweise sollte es auch hier Verlängerungsoptionrn geben.

 

[kartoffelpü]

Wir kaufen meist bei Comodo, aber ein kostenloses Zertifikat von Let's Encrypt reicht auch vollkommen aus.
Beim Neuausstellen am Besten über den Wizard von Exchange gehen und sicherstellen, dass alle benötigten SAN-Namen (autodiscover etc) im neuen Zertifikat enthalten sind.

 

[xexex]

Was hält Dich davon ab, das Zertifikat dann nach dem Umzug weiter zu verwenden?

Vor allem kommst du beim Exchange 2016 gar nicht um ein Zertifikat, auch bei lokal angebundenen Clients.

 

[Rego]

Ich mache bei meinem Exchange per Skript die Verlängerung des LetsEncrypt-Zertifikats. Dieses wird dann automatisch bei meinem HTTPS ReverseProxy eingespielt.

 

[Michi777]

Okay, wusste nicht dass ich das Zertifikat dann auf neuen Server übertragen kann.
Habe nun bei SSLPoint wegen Bestpreis und Sofortausstellung ein Wildcardzertifikat für *.domäne.de angefordert und per Mail validiert und schon erhalten und als .txt zu .cer abgespeichert.

Jetzt beim Exchange 2010 eingespielt und neugestartet.

Problem:
Noch immer stand dort, dass es abgeschlossen werden muss, auch wenn ich nochmal .cer datei eingelesen habe.
Danach bin ich auf Exchange Zertifikat importieren gegangen und dort steht "Zertifikat kann nicht importiert werden, da bereits eines mit dem Fingerbdruck ____ vorhanden ist, siehe Anhang.

Danach habe ich das abgelaufene und neu versuchte Zertifikate unter Exchange Lizenzen gelöscht und ging wieder auf importieren, vergebens, da gleiche Meldung.

Was muss ich denn nun machen?

Danke

 

[morcego]

Vermutlich das alte entfernen und das neue rein. Geht womöglich nur per Powershell.

Aber ganz ehrlich, spar dir die Kohle und nimm ein Lets Encrypt. Entweder die fertigen Scripte von frankysweb die super funktionieren, oder du hast ein Synology rumstehen dann hol dir das dort und spiele es manuell auf dem Exchange ein. Ich sehe gar keinen Sinn darin für den Exchange ein gekauftes Zertifikat zu benutzen.

 

[Michi777]

Mit einem neuer Anforderung (weil ja Fingerabdruck und einzigartiger Anforderungscode jeweils) und Download der neuen .rec datei funktionierte es dann:
Freue mich dass erstmals hingekriegt zu haben und auch Zwischenfälle gelöst zu haben, bin jetzt gewappnet für zukünftige Zertifikatsgeschichten, danke für eure Unterstützung.

 

[xexex]

Ich sehe gar keinen Sinn darin für den Exchange ein gekauftes Zertifikat zu benutzen

Der "Sinn" darin ist, möglichst alle Endgeräte zu unterstützen. Lets Encrypt ist bei weitem nicht überall als Stammzertifizierungsstelle hinterlegt und was interessieren bei einem geschäftlich genutztem Exchange Server 100€ im Jahr?

Heutzutage kauft man sich am besten ein Wildcard Zertifikat und kann es überall einsetzen. Vom Exchange, über AD, Hyper-V Replikation, SSL VPN, Remote Desktop, bis zu der Webseite.

 

[morcego]

Mir ist bisher noch kein Endgerät untergekommen was das nicht unterstützt hat, aber wenn du welche gefunden hast kannst du sie ja nennen. Zumal man ja erst LE versuchen kann und bei Fehlern immernoch ein anderes nehmen.

"Heutzutage" ist ein fliegender Begriff, heutzutage sollten Zertifikate auch keine 2 oder 3 Jahre laufen denn heutzutage kommt es viel zu oft vor das Zertifikatketten für ungültig erklärt werden. Und wenn man sich mal wirklich bei LE vertan hat, dann holt man sich einfach ein neues.

Aber natürlich kann jeder kaufen was er will, LE ist ja nur eine Option.

 

[RalphS]

So lange wie nicht klar ist, was da hinten dran hängt, ist JEDE Überlegung müßig.

Wildcard? Nur wenn nötig (meist nicht). Siehe auch NordVPN. Ist der PK fürs Wildcard-Cert weg, haben wir keinen Gau, sondern einen Supergau.

Paid ist nicht notwendig für intern. LE auch nicht. Das macht die eigene CA, dafür ist die da, ganz vollautomatisch.

Ehrlich gesagt bin ich bissel entsetzt. Exchange hosten, aber nicht mal die Basics beherrschen. Das ist in meinen Augen Zugunglück mit Ansage.

 

[xexex]

Mir ist bisher noch kein Endgerät untergekommen was das nicht unterstützt hat, aber wenn du welche gefunden hast kannst du sie ja nennen. Zumal man ja erst LE versuchen kann und bei Fehlern immernoch ein anderes nehmen.

https://letsencrypt.org/de/docs/certificate-compatibility/

 

[morcego]

Schöne Liste, wie viele 3DS oder PS3 haben sich jetzt schon versucht an deinem Exchange per https oder TLS anzumelden? Ich sagte ja, "mir" ist noch keiner untergekommen. Heißt im Firmenumfeld läuft es bisher tadellos mit LE. Wenn du oder jemand anderes natürlich noch XP vor SP3 oder ein Android 2.3.5 einsetzt, ja dann gehts natürlich nicht. Wobei ich nicht wüsste ob und wie die sich überhaupt noch mit einem halbwegs aktuellen Exchange verbinden.