Schlagwort-Archive: Zertifikat

Neuer Server & Umstellung auf SSL only

Hi,

nach langer Vorbereitung bin ich nun endlich auf einen dedizierten Server umgezogen und habe die Gelegenheit nun auch genutzt um meine Webseite vollständig auf SSL umzustellen. Dank Let’s Encrypt geht das sehr einfach und ist zudem noch kostenlos. Dank der vorhandenen packages für alle gängigen Distros ist die Installation sowie die notwendigen laufenden updates (die Zertifikate haben nur eine Laufzeit von 90 Tagen) extrem einfach. Ich kann jeden mit einer Webseite nur motivieren seine Webseite ebenfalls umzustellen.

SBS 2011 mulitdomain Zertifikat für Exchange und Remote-Access selbst erstellen

Um die Remotewebseite des SBS 2011 und insbesondere den Outlook Web Access (OWA) bzw. den Remote Zugang via TS-Web-Gateway richtig nutzen zu können braucht man ein vertrauenswürdiges Zertifikat.  Um dieses zu erhalten kann man sich natürlich der Dienste einer bekannten öffentlichen CA bedienen. Abhängig von den Zertifikaten die man braucht kann das aber recht teuer werden. Insbesondere bei Zertifikaten mit mehreren Domains (subject alternate domains) kostet das gleich mehrere hundert Euro. Für Testsysteme aber auch für Unternehmen die sicherstellen können, dass alle zugreifenden Systeme dem eigenen Zertifikat vertrauen kann man sich ein Zertifikat mit mehreren Domains auch selbst erstellen.

Manche fragen sich nun vielleicht warum ich ständig diese Zertifikate mit mehreren Domains erwähne. Die Begründung ist recht simpel – weil es viele brauchen (ohne es zu wissen). Nahezu jedes Exchange System das ich kenne ist autoritär für mehr als eine Domain und oft werden auch mehrere (unterschiedliche) als Sendeadressen verwendet. Damit ist es notwendig, dass der Exchange Server auch ein gültiges Zertifikat für die alternativen Domains besitzt. Essentiell wird es wenn man z. B. ein Active Sync Gerät verwendet um die Mails eines Kontos abzurufen welches nicht durch die primäre Domain abgedeckt ist.

So nun aber zu den notwendigen Schritten am Beispiel eines SBS 2011 (Enterprise CA):

Zuerst erstellt man sich eine Textdatei mit folgendem Inhalt – wobei das Subject und die DNS Namen unter SAN natürlich anzupassen sind – weitere Details zu Folgeoptionen findet man ggf. auch hier: http://support.microsoft.com/kb/931351

snaghtml45c314c_thumb-5412482

Die soeben erstellte Datei wird in meinem Fall in request.inf (das .inf ist wichtig!) umbenannt.

certreq -new request.inf certnew.req

image_thumb-4455860

image_thumb1-9706822

certreq -submit certnew.req certnew.cer

image_thumb2-5269380

certreq -accept certnew.cer

image_thumb3-1362295

Nachdem das Zertifikat erstellt wurde muss es noch installiert werden:

image_thumb4-3121288

image_thumb5-6587776

image_thumb6-3075549

image_thumb7-5236147

image_thumb8-4302832

Security Blog goes SSL

Es war schon einige Zeit überfällig – jetzt ist es soweit. Ich habe für meine Seite ein in gängigen Browsern gülties Zertifikat gekauft und einrichten lassen. Damit kann man meine Seite zukünftig auch ohne lästige Fehlermeldungen via https aufrufen.

image_thumb-9257393