Zertifikat für Exchange 2016

Re: Zertifikat für Exchange 2016

Kuzy — Sat, 01 Aug 2020 14:29:00 GMT

Ich habe es derzeit immer mit LetsEncrypt gemacht, aber da ich immer wieder
Probleme bei der Erneuerung habe würde ich gerne auf ein gekauftes umsteigen.

Versuch mal mit https://certifytheweb.com/ damit kannst du auch die Exchange Zertifikate erneuern. Fürn IIS läufts komplett automatisert (Bindings etc..), glaub für Exchange mittlerweile auch, ansonsten kannst du das recht einfach scripten.

Re(9): Zertifikat für Exchange 2016

PeterShaw — Fri, 17 Jul 2020 08:02:09 GMT

Ich mach eh die DNS-Challenge. Ok, wusste nicht dass das beim httpd ohne Restart geht, dann lese ich mich dazu ein

Re(8): Zertifikat für Exchange 2016

colo — Fri, 17 Jul 2020 06:17:09 GMT

Wenn dein Webserver mit TLS-Termination keine Zertifikate reloaden kann, ohne einen Moment nicht verfuegbar zu ein, dann ist er ein Graffl und gehoert weg. Wenn dein Webserver seine Konfiguration/Funktion mit dem neuen Zertifikatsmaterial nicht gefahrlos testen kann, dann ist er ein Graffl und gehoert weg. Wenn deine Loadbalancer-Appliance das alles nicht kann, dann ... siehe oben.

Renewals gegen eine ACME-konforme API kann man via DNS-01- oder ALPN-01-Challenge uebrigens auch ganze ohne Beteiligung eines Webservers durchfuehren - wie man das Zertifikatsmaterial an den Endpunkt schafft ist ggf. die Herausforderung. Aber wenn dich deine Infrastruktur dabei mehr behindert das unterstuetzt, dann ... siehe oben.

Technologien und Produkte (Apache httpd, nginx, haproxy, ...) die das ermoeglichen sind fuer jedes Budget und jeden Anspruch verfuegbar und nutzbar - aber nutzen muss man sie halt. Wenn man es nicht tut, wird man auf ewig jedes Jahr wieder und wieder einige Personentage sinnlos mit "einem typischen Changeprozess" verbrennen. Kann man natuerlich machen - ist aber langweilig und muehsam und unproduktiv und teuer, und im Austausch dafuer kriegt man 0 Vorteile.

Re(7): Zertifikat für Exchange 2016

PeterShaw — Thu, 16 Jul 2020 18:57:37 GMT

Ich kann nicht einfach einen Webserver automatisch restarten lassen, das ist eine Aktion bei der Impact abzusprechen ist, eine Genehmigung einzuholen ist, also typischer Changeprozess. Oftmals werden die Zertifikate auf Loadbalancer-Appliances installiert, und die können natürlich kein Renewal durchführen.

Privat hab ich mir das überlegt, nur ist der Webserver hinter einer Firewall ohne direkten Internetzugang. Vielleicht richte ich mir mal einen Renewal-Server ein, wo Ansible die neuen Files anschließend auf dem Webserver installiert.

Re(3): Zertifikat für Exchange 2016

Desolationrob — Thu, 16 Jul 2020 17:51:03 GMT

bei spezielleren Anfragen zb. Da ist es schin gut wenn da auch jemand auf der anderen Seite zügig reagiert

Re(6): Zertifikat für Exchange 2016

colo — Thu, 16 Jul 2020 17:25:46 GMT

Ich habe privat derzeit fuer sechs Hosts TLS-Zertifikate durch LE signiert. Mit dem Renewal habe ich in jeder beliebigen Stunde genau den selben Aufwand wie in einem Zaitraum von fuenf Jahren: 0 Sekunden.

Ich erstelle kein Keypair, verpacke nichts in einen CSR, deploye keine aktualisierten PEM-Files, starte keine Dienste neu, plane nichts. Das macht naemlich alles der interaktionsfreie Automatismus, der diese laestigen Pflichen mit maschineller Praezision fuer mich erledigt. Die einzig denkbare Fehlerquelle nach der initialen Konfiguration ist ein Problem beim automatischen Renewal, in dessen Falle ich alarmiert wuerde - jeden Tag ueber rund vier Wochen hindurch, bevor das Problem tatsaechlich schlagend wird und User meiner Dienste ein Problem kriegen.

Und wenn ich nicht sechs, sondern 60.000 Zertifikate verwalten muesste, wuerde sich daran nichts aendern. Ich wuerde es heute aber auch bei nur einem einzigen Zertifikat unter meiner Fuchtel schon so einrichten - einfach weil die potenzielle Fehlerquelle des manuellen Eingriffs bzw. Vergessens wegfaellt.

Automatisieren ist Pflicht. Legacy-CAs stehen dem im Weg, deswegen gehoeren sie weg. So einfach ist das

Re(5): Zertifikat für Exchange 2016

PeterShaw — Thu, 16 Jul 2020 14:20:16 GMT

>Manuelles Zertifikatsmanagement mit einer "klassischen" CA ist ein Albtraum direkt aus der IT-Steinzeit.

Naja, geht so, warum? Wir tragen die Certs in eine Liste, bekommen automatisch Alerts, erstellen Keypair und CSR, geben das an die Beschaffungsstelle und stellen schlussendlich einen Change Request zur Erneuerung. Dass ich das mit 48Std Vorlaufzeit planen muss, würde sich auch mit LE nicht ändern.

Re(4): Zertifikat für Exchange 2016

colo — Thu, 16 Jul 2020 13:42:53 GMT

Ich behaupte ganz frech, dass LE die technisch und vor allem von den von Sicherheitsaspekten her beste CA ist, deren Signaturen man fuer Geld kaufen kann. Dass sie dafuer 0 Euro verlangen - geschenkt; nehme ich ihnen bestimmt nicht uebel!

Wenn das hyperparanoide Netzwerk-Setup sowie die Policy meines jetzigen Arbeitgebers es erlaubten, haette ich hier laengst alles in Sachen TLS auf ACME (mit LE als CA, mangels Alternativen) umgestellt. Manuelles Zertifikatsmanagement mit einer "klassischen" CA ist ein Albtraum direkt aus der IT-Steinzeit.

Re(3): Zertifikat für Exchange 2016

PeterShaw — Thu, 16 Jul 2020 11:31:11 GMT

>Bei Geizhals hat man vor einiger Zeit auch in den anfangs etwas sauer scheinenden LE-Apfel gebissen

Oh wow, Geizhals nutzt das tatsächlich, wusste ich nicht. Mir fällt auf, dass es die wenigsten Webseiten verwenden, ich kann mir nur denken dass darauf selten umgestellt wird, weil es kein großer bekannter Name ist wie Comodo oder sonstwas und weil es als kostenloses Service nicht so seriös wirkt. Da kann man im eigenen Unternehmen schlecht für eine Umstellung argumentieren, und wenn was beim Renewal schiefläuft fällt es dann auf einen selbst zurück "mit insert_expensive_ca wäre das nicht passiert!11"...

Bei großen Firmen wiederrum versteh ich es schon, da sind die Kosten für ein paar teure Zertifikate nicht einmal Peanuts, da kanns sein dass man für ein einzelnes Projekt von vielen direkt ein dutzend davon braucht, wenn man mehrere Umgebungen Test/q/prod hat usw. Ob da jetzt die Webseite auch eins braucht und was das kostet, völlig egal.

Re(2): Zertifikat für Exchange 2016

colo — Thu, 16 Jul 2020 09:17:23 GMT

ob da auch jemand halbwegs flott reagiert

Auf was? Du interagierst mit dem CA bzw. deren Reseller im Regelfall genau beim Einwurf der Muenzen fuer die Signatur. Danach kriegst Du nachgelagert alle paar Jahre Quasi-Spam, dass wieder mal ein Renewal am Horizont ist.

Bei gekauften Zertifikatssignaturen fuer TLS wuerde ich nur auf eines schauen: Den Preis. Es ist eh jeder akzeptabel billige/teure Anbieter lediglich COMODO-Reseller, und die Dienstleistung damit das gleiche wert. http://www.ssls.com war mal billig (~5 Euro/Jahr); wenn es jemand aber noch billiger gibt - umso feiner!

Die *eigentliche* Loesung des Problems des Thread-Erstellers waere es freilich, die Rotation zuverlaessig automatisiert zu implementieren. Klar, Exchange und eine Windows-Infrastruktur sind dafuer nicht das ideale Umfeld, aber moeglich ist das dank PowersHell wohl auch - und das Rotieren bleibt einem bei immer kuerzer werdenden Signaturgueltigkeitszeitfenstern so oder so nicht erspart.

Bei Geizhals hat man vor einiger Zeit auch in den anfangs etwas sauer scheinenden LE-Apfel gebissen - und am Ende war es eine wesentliche Erleichterung, weil man dadurch auch nicht mehr auf das Renewal vergessen *kann*.

Re: Zertifikat für Exchange 2016

Desolationrob — Wed, 15 Jul 2020 12:18:32 GMT

denke mal, du meisnt wo du das am besten herbekommst.....ich habe gute Erfahrungen mit Trustzone, aber im Endeffekt ist es bei kleinen Mengen fast egal wo man kauft, man sollte sich halt anschauen was dei konkret ausstellen können, welche CA dann hinterlegt wird und ob da auch jemand halbwegs flott reagiert

Zertifikat für Exchange 2016

sum — Sun, 12 Jul 2020 12:36:34 GMT

Hallo,

welches Zertifikat für EX2016 könnt Ihr mir empfehlen? Ich habe es derzeit immer mit LetsEncrypt gemacht, aber da ich immer wieder Probleme bei der Erneuerung habe würde ich gerne auf ein gekauftes umsteigen.

Vielen Dank für Tipps