Unser gute Franky hat einen guten Blogeintrag zum Thema interne Zertifikate für Exchange 2013 verfasst: http://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca/
Den Tipp von Franky habe ich schon oft benutzt, vor allem in Umgebungen mit einer .local Domain.
Nun habe ich bei einem Kunden mal wieder die interne CA bemüht um die CAS Kommunikation intern damit abzusichern. Nach Anleitung von Franky habe ich eine Zertifikatsvorlage erstellt und damit ein Zertifikat für die Exchange Server ausgestellt.
Nachdem wir dem Zertifikat den Dienst IIS zugewiesen haben konnten wir uns erstaunlicherweise nicht mehr an der EAC anmelden. Also haben wir über den IIS wieder das öffentliche Wildcard-Zertifikat zugewiesen. Siehe da, die Anmeldung an der EAC war wieder möglich.
Nach längerer Suche haben wir dann mit Hilfe dieses Blog-Posts das Problem gefunden. Exchange 2013 kann nicht mit dem neusten Cryptographic Provider umgehen. Der Cryptographic Provider muss RSA sein und nicht "Microsoft Software Key Storage Provider"
Um zu schauen, welcher Provider ihr verwendet kann folgender Befehl verwendet werden:
certutil -store my
Die Ausgabe sieht dann wie folgt aus:
================ Certificate 0 ================
Serial Number: 3f8ea542007420000812
Issuer: CN=Compapany CA, DC=corp, DC=mydomain, DC=com
NotBefore: 08/11/2011 5:54 pm
NotAfter: 07/11/2013 5:54 pm
Subject: CN=exc.corp.mydomain.com, O=MyCompany Ltd, L=Zurich, C=CH
Non-root Certificate
Template: Exchnage SAN, Web Server
Cert Hash(sha1): 53 45 85 75 a3 dd 1f be ac 37 48 17 f5 5e cb 22 f3 e0 4a 1c
Key Container = 34b04971930a70b4646b20c4c2d3adfe_8b81c452-42c5-4f2a-8549-934c5 c7bbda9
Simple container name: le-2edee22b-c80c-471e-b517-99b239557e05
Provider = Microsoft RSA SChannel Cryptographic Provider
Encryption test passed
CertUtil: -store command completed successfully.
Falls es so aussieht, funktioniert die Anmeldung nicht:
================ Certificate 0 ================
Serial Number: 3f8ea542007420000812
Issuer: CN=Compapany CA, DC=corp, DC=mydomain, DC=com
NotBefore: 08/11/2011 5:54 pm
NotAfter: 07/11/2013 5:54 pm
Subject: CN=exc.corp.mydomain.com, O=MyCompany Ltd, L=Zurich, C=CH
Non-root Certificate
Template: Exchnage SAN, Web Server
Cert Hash(sha1): 53 45 85 75 a3 dd 1f be ac 37 48 17 f5 5e cb 22 f3 e0 4a 1c
Key Container = 34b04971930a70b4646b20c4c2d3adfe_8b81c452-42c5-4f2a-8549-934c5 c7bbda9
Simple container name: le-2edee22b-c80c-471e-b517-99b239557e05
Provider = Microsoft Software Key Storage Provider
Encryption test passed
CertUtil: -store command completed successfully.
Keine Kommentare:
Kommentar veröffentlichen