Zerifikatsproblem mit "FremdCA"

17/10/2007 - 13:20 von Björn | Report spam
Hallo Zusammen!

Ich möchte gern auf unserem Exchange ein Zertifikat einer externen CA.
Ich hatte dabei 2 Varianten nacheinander verfolgt,

1.) Eine eigene interne CA
2.) Demozertifikat von trustcenter.de

Bei beiden Varianten hatte ich die gleiche Symtome.

Vorgehensweise:

1. Die jeweiligen Root-CA-Zertifikate auf dem Exchange installiert.
2. Request erstellt:

New-ExchangeCertificate -GenerateRequest -SubjectName
"cÞ,S=Sachsen,L=Ort,O=Firma
GmbH,E=v.nachname@firma.de,CN=mail.firma.de" -DomainName
mail.firma.de,msx2007.firma.local,autodiscover.firma.de
-PrivateKeyExportable $true -KeySize 4096 -Path C:\mail.firma.de_test.req

3. den erzeugten Request in der internen CA / bei Trustcenter
unterschreiben lassen.
4. Zertifikat runtergeladen
5. Zertifikat mit
"Import-ExchangeCertificate -Path C:\mail.firma.de_cert.cer" installiert

Wenn ich mir jetzt die installierten Zertifikate anschaue
(Get-ExchangeCertificate), erhalte ich folgendes:
(Bsp mit dem TrustCenter Zertifikat)

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.firma.de}
HasPrivateKey : True
IsSelfSigned : False
Issuer : E=certificate@trustcenter.de, OU=TC TrustCenter
Class 0 CA, O=TC TrustCenter AG, L=Hamburg, S=Hamburg, CÞ
NotAfter : 11/16/2007 10:13:40 AM
NotBefore : 10/17/2007 11:13:40 AM
PublicKeySize : 2048
SerialNumber : 00C80200010002851449677A407E4A
Status : Invalid
Subject : E=v.nachname@firma.de, CN=mail.firma.de, OU=TC
TrustCenter DEMO, O=TC TrustCenter GmbH, CÞ
Thumbprint : 5EEA4B0376EA5346305F89804FE7FAEA7C5FC0A6


Das Problem ist der "Status".
Er ist egal ob via TrustCenter oder eigener CA immer: invalid


Das folgende ist ein Exchange-Self-Signed Cert, bei welchem diese Punkte
gewünscht vorhanden sind.


AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule,
System
.Security.AccessControl.CryptoKeyAccessRule,
System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.firma.de, msx2007.itc.local}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=mail.firma.de, OU=R21, O=Firma GmbH, L=Ort,
S=Saxony, CÞ
NotAfter : 8/31/2008 10:20:53 PM
NotBefore : 8/31/2007 10:20:53 PM
PublicKeySize : 4096
SerialNumber : 33F12408F2AA20B7449ED6A27976F6A8
Status : Valid
Subject : CN=mail.firma.de, OU=R21, O=Firma GmbH, L=Ort,
S=Saxony, CÞ
Thumbprint : 285AF3EFA6C75DEF23B81CA980E3E9ADFE54035D

Wie wird der Status VALID erreicht? Wenn ich die Zertifikate mir in der
mmc anschaue, ist der Zertifizierungspfad ok und das Zertifikat ist gültig.

Gibt es spezielle Anforderungen? Seitens technet von Mircosoft werden ja
3 Firmen empfohlen für Exchange 2k7 - Zerifikate.

http://support.microsoft.com/defaul...-US;929395

Die Vorgehensweise ist dort analog beschrieben.


Vielen Dank!!
 

Lesen sie die antworten

#1 Marc Jochems
17/10/2007 - 13:39 | Warnen spam
Hallo Björn,

Bei beiden Varianten hatte ich die gleiche Symtome.
New-ExchangeCertificate -GenerateRequest -SubjectName
"cÞ,S=Sachsen,L=Ort,O=Firma
GmbH,E=,CN=mail.firma.de" -DomainName
mail.firma.de,msx2007.firma.local,autodiscover.firma.de
-PrivateKeyExportable $true -KeySize 4096 -Path C:\mail.firma.de_test.req



Schau dir mal den SubjectName an, der ist flasch. Schau dir das SelfsignCert
an und dann deins!

Issuer : E=, OU=TC TrustCenter
Subject : E=, CN=mail.firma.de, OU=TC

Das folgende ist ein Exchange-Self-Signed Cert, bei welchem diese Punkte
gewünscht vorhanden sind.
Issuer : CN=mail.firma.de, OU=R21, O=Firma GmbH, L=Ort,
S=Saxony, CÞ
Subject : CN=mail.firma.de, OU=R21, O=Firma GmbH, L=Ort,
S=Saxony, CÞ



Lese mal diesen Artikel:
http://technet.microsoft.com/en-us/...32063.aspx

Grüße

Marc Jochems

Ähnliche fragen