self certificates på en server 2008 med exchange

Den røde adresselinje kan skyldes to ting.
navnet på certifikatet stemmer ikke overens med adressen.
F.eks. skal det være webmail.example.com.

Nr.2. Hvis du selv har lavet certifikatet så skyldes det sikkert at du ikke truster certifikater fra denne CA. Udrul CA certifikatet og importer det på dine klienter. Dette kan gøres via en GPO hvis du har mange af dem.

Hej lassebm

Nu er jeg ny inden for exchange.

Er det ikke inde i IIS man laver certifikatet.

Hvordan truster man certifikater fra denne CA.

Hvordan importer man certifikater til klienter med en GPO.

Du må undskylde vis jeg spørger dumt men jeg er lige startet med at rode med exchange.

På forhånd tak

mvh
mvhansen

Det er Common Name der skal være lig dit lookup navn.
Feks. Hvis cerfikatet skal ligge på test.example.com, så SKAL Common Name være lig med test.example.com :)

Hvis du går ind på IIS'en kan du lave en CSR (Certificate Server Request). Indholdet af denne fil tager du så og opretter et certifikat med. Enten fra en allerede trusted provider f.eks. verisign (koster penge), eller bruger din egen CA (gratis). Hvis du bruger din egen CA skal du have denne installeret på en server et sted. Lige gyldigt hvilken. Der er vist også nogen gratis på nettet som freeca (tror jeg den hedder) man kan benytte sig af hvis det er.

Hvis du bruger din egen cert server er det sikkert nødvendigt som skrevet før at du skal importere CA certfikatet til klienten.

Umiddelbart virker det som at du allerede har certifikatet kørende, så foregående er muligvis ligegyldigt? MEN, kontroller at common name matcher !
I så fald, er det et spørgsmål om at få CA certfikatet importeret på klienterne.
1) Smut ind på cert serveren, og eksporter CAs rod cerfikat.
2) Kopier det over på klieten, og importer det via MMC\Certificates snapin, og smid det i Trusted Root Authorities.

Jeg kan ikke huske menuerne, steps osv i hoved.

Hej lassebm

Tak for hjælpen.

Du må undskylle at jeg først melder tilbage nu,
jeg har først haft tid til at kikke på det nu.


mvh
mvhansen

Self signes certificates kan ikke komme til at virke med Exchange 2007. Hverken OWA eller Outlook Anywhere vil fungere.

Der kræves et "rigtigt" certifikat fx fra rapidssl

Mvh. SteenN

Hmm. Jeg tvivler på at MS har lavet et produkt de ikke selv understøtter ved deres egne certifikater!

Hvis det ikke vel virke, kan det tænkes der mangler noget root CA. eller lign.

Det er en ren tilståelsessag. Microsoft skriver det selv på

http://technet.microsoft.com/en-us/library/bb851554(EXCHG.80).aspx

SteenN

Kig på scriptletten "New-ExchangeCertificate" i Exchange Powershell...

Denne kan bruges til at generere et cert, indsætte de nødvendige SANs samt binde det til de øsnkede services.

Eksempel på en streng :

New-ExchangeCertificate -KeySize 2048 -SubjectName "c=DK, s=DK, l=By, o=Firma, ou=Afdeling, cn=servernavn.domain.dk, cn=mail.domain.dk, cn=www.domain.dk" -DomainName server, server.domain.dk, www.domain.dk, mail.domain.dk, autodiscover.domain.dk -FriendlyName www.domain.dk -PrivateKeyExportable $True -Services "SMTP", "IMAP", "POP", "IIS" -Verbose

Smid eventuelt et -whatif ind inden -verbose for at se hvad udkommet vil blive inden du skyder strengen endeligt af.

Importer derefter cert´et i trusted roots på dine lokale klienter og Outlook er kørende.

Der vil i sagens natur stadig være et prompt på dit cert i IE mv men ved at acceptere den fungerer OWA.
Outlook via HTTP RPC virker også når certet er importeret i Trusted roots.

Ellers er der jo sådan noget som startssl hvor du for ganske få $ kan få lavet dig et cert inkl sans.