Sophos UTM 9.6: Kostenlose Let’s Encrypt Zertifikate

Die Sophos UTM 9.6 bietet nun auch die lang ersehnte Unterstützung für kostenlose Let’s Encrypt Zertifikate. Zwar unterstützt die UTM nur das ACMEv1 Protokoll und kann somit keine Wildcard Zertifikate anfordern, dafür können aber SAN-Zertifikate mit bis zu 100 DNS-Namen automatisch angefordert werden. Kurzer Überblick zu Let’s Encrypt Let’s Encrypt ist eine Zertifizierungsstelle (CA) die mittlerweile von nahezu jedem Gerät als vertrauenswürdig anerkannt wird. Ähnlich wie die bekannten CAs wie beispielsweise Thwate, Digicert und Comodo, akzeptieren also nahezu alle Browser, Mehr »

Certificate Assistant: Jetzt auch für Exchange 2010 und Server 2008 R2

Jetzt kann ich Vollzug melden, die aktuelle Version des Certificate Assistant für Let’s Encrypüt unterstützt nun auch Exchange 2010 und Server 2008 R2. Ich habe den Download noch einmal aktualisiert und es sind nun 3 Versionen des Scripts enthalten: Somit werden nun die folgenden Betriebssysteme unterstützt: Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2016 Ich habe das Script mit den jeweils aktuellen Exchange Versionen getestet: Exchange 2016 CU8 Exchange 2013 CU 19 Exchange 2010 SP3 UR 19 Mehr »

Certificate Assistant jetzt auch für Exchange 2013 und Server 2012 R2

Letzten Montag hatte ich eine überarbeitete Version des Exchange Certificate Assistant veröffentlicht. Die letzte Version unterstützte bisher nur Exchange 2016 auf Windows Server 2016. Mit der jetzigen Version wird nun auch Windows Server 2012 R2 und Exchange 2013 unterstützt. Neu ist auch die Möglichkeit die Benachrichtigungsmails mit Authentifizierung am SMTP Server zu verschicken. Außerdem wurden ein paar kleinere Probleme behoben und das Logging verbessert. Im Archiv finden sich nun 2 Ordner- Der Ordner Exchange 2013 enthält logischerweise das Script für Mehr »

Neue Version des Exchange Zertifikatsassistent für Let’s Encrypt

Am 06.02.2017 hatte ich die erste Version des Zertifikatsassistent für Exchange 2016 und Let’s Encrypt veröfferntlicht. Der Zertifikatsassistent vereinfacht das Anfordern, Erneuern und Installieren eines SSL-Zertifikats für Exchange 2016. Nun gibt es Dank Bjoern eine neue Version. Bjoern hat sich die Mühe gemacht und einige Änderungen vorgenommen, sodass der Zertifikatsassistent auch mit Exchange 2010 und Exchange 2013 funktioniert. Des weiteren ist das mehrmalige Ausführen pro Tag dank Bjoerns Änderungen nun auch möglich. Häufiges Ausführen des Scripts ist allerdings mit etwas Mehr »

Let’s Encrypt: Kostenlose Wildcard Zertifikate ab Januar 2018

Let’s Encrypt hat heute bekannt gegeben, dass ab Januar 2018 auch kostenlose Wildcard Zertifikate ausgestellt werden. Mit Wildcard Zertifikaten (Bspw.: *.frankysweb.de) lässt sich mit einem Zertifikat eine komplette Domain per SSL sichern. Bei anderen Zertifizierungsstellen kosten Wildcard Zertifikate einiges an Geld, das bisher günstigste Wildcard Zertifikat welches ich kenne liegt bei knapp 280 EUR für 3 Jahre Laufzeit. Wildcard Zertifikat werden nicht nur gerne für Exchange Server benutzt, auch für Loadbalancer und Web Application Firewalls werden üblicherweise Wildcard Zertifikate verwendet. Mehr »

Exchange 2016: OPNsense, HAProxy und Let’s Encrypt

OPNSense ist ein Fork der bekannten OpenSource Firewall PFSense, mir persönlich gefällt OPNSense besser, die GUI ist aufgeräumter, es gibt eine REST-Api und die wichtigsten PlugIns sind ebenfalls verfügbar. Da für OPNSense ein Plugin für HAProxy und auch für Let’s Encrypt existiert, habe ich angefangen diese Kombination in Verbindung mit Exchange 2016 zu testen. OPNSense kann also direkt ein kostenloses Zertifikat von Let’s Encrypt anfordern und kümmert sich dann auch selbstständig um die Erneuerung. Kostenlose Firewall und kostenlose Zertifikate, hört Mehr »

Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 2)

In Teil 1 wurden bereits die Vorbereitungen für Let’s Encrypt Zertifikate und Exchange 2010 durchgeführt. Dieser Artikel baut daher direkt auf Teil 1 auf. In Teil 1 wurde die Exchange Organisation entsprechend angepasst, daher geht es in Teil 2 direkt weiter mit der Konfiguration den öffentlichen DNS. Ich habe ich noch vergessen zu erwähnen, dass die komplette Umgebung auf Windows Server 2008 R2 installiert ist. Ich habe mich absichtlich für Server 2008 R2 entschieden, da es für Exchange 2010 eine weit Mehr »

Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 1)

Zertifikate von Let’s Encrypt werden immer beliebter, ist ja auch kaum verwunderlich, denn die Zertifikate sind kostenlos und es gibt einfache Clients um die Zertifikate zu bekommen. Let’s Encrypt Zertifikate sind zwar nur 3 Monate lang gültig, aber die verfügbaren Clients übernehmen das Erneuern der Zertifikate. Exchange 2016 lässt sich sogar mit einem kleinen PowerShell Script völlig automatisieren. Im Prinzip ist dieses auch mit Exchange 2010 machbar, was bereits einige angefragt haben und das Script sogar selbst abgewandelt haben. Damit Mehr »

Sophos UTM und Let’s Encrypt Zertifikate

Ich bin heute über einen interessanten Workaround für die Sophos UTM und Let’s Encrypt Zertifikate gestolpert: https://github.com/rklomp/sophos-utm-letsencrypt René hat sich die Mühe gemacht und ein Script erstellt, welches auf der Sophos UTM Let’s Encrypt Zertifikate automatisch erneuern kann. Die Umsetzung ist relativ einfach und hat bei mir in der Testumgebung auf Anhieb funktioniert. Da die Let’s Encrypt CA auf den Webserver zugreifen muss um die Domain Validierung durchzuführen, muss die Prüfdatei auf den hinter der WAF liegenden Webserver kopiert werden. Mehr »

Exchange 2016: Zertifikatsassistent für Let’s Encrypt

Ich hatte es ja bereits angekündigt, dass der Zertifikatsassistent ein Update für Let’s Encrypt erhält. Die Version für Exchange 2016 ist jetzt fertig. Der Zertifikatsassistent kann mit wenigen Angaben ein Zertifikat von Let’s Encrypt holen und danach auch vollautomatisch erneuern. Getestet habe ich dieses Script bisher mit Windows Server 2016 und Exchange Server 2016. Tests für Server 2012 R2 und Exchange Server 2013/2016 bereite ich gerade vor und werde die Version ggf. entsprechend anpassen. Bisher gibt es also nur Unterstützung Mehr »