Google Chrome vertraut Symantec CAs ab 2018 nicht mehr

Google hat angekündigt den Symantec CAs (Zertifizierungsstellen) das Vertrauen ab 2018 zu entziehen. Ein entsprechender Artikel findet sich im Google Security Blog: Chrome’s Plan to Distrust Symantec Certificates Konkret bedeutet dies, dass Webseiten oder Dienste die mit von Symantec ausgestellten Zertifikaten arbeiten von Chrome nicht mehr als vertrauenswürdig angesehen werden.Dies betrifft alle Zertifikate die vor dem 01.06.2016 von Symantec ausgestellt wurden. Davon betroffen sind auch die Zertifikate der weiteren von Symantec betriebenen Zertifizierungsstellen Thwate, Verisign, Equifax, GeoTrust und RapidSSL. Symantec war bis Mehr »

Neue Version des Exchange Zertifikatsassistent für Let’s Encrypt

Am 06.02.2017 hatte ich die erste Version des Zertifikatsassistent für Exchange 2016 und Let’s Encrypt veröfferntlicht. Der Zertifikatsassistent vereinfacht das Anfordern, Erneuern und Installieren eines SSL-Zertifikats für Exchange 2016. Nun gibt es Dank Bjoern eine neue Version. Bjoern hat sich die Mühe gemacht und einige Änderungen vorgenommen, sodass der Zertifikatsassistent auch mit Exchange 2010 und Exchange 2013 funktioniert. Des weiteren ist das mehrmalige Ausführen pro Tag dank Bjoerns Änderungen nun auch möglich. Häufiges Ausführen des Scripts ist allerdings mit etwas Mehr »

Let’s Encrypt: Kostenlose Wildcard Zertifikate ab Januar 2018

Let’s Encrypt hat heute bekannt gegeben, dass ab Januar 2018 auch kostenlose Wildcard Zertifikate ausgestellt werden. Mit Wildcard Zertifikaten (Bspw.: *.frankysweb.de) lässt sich mit einem Zertifikat eine komplette Domain per SSL sichern. Bei anderen Zertifizierungsstellen kosten Wildcard Zertifikate einiges an Geld, das bisher günstigste Wildcard Zertifikat welches ich kenne liegt bei knapp 280 EUR für 3 Jahre Laufzeit. Wildcard Zertifikat werden nicht nur gerne für Exchange Server benutzt, auch für Loadbalancer und Web Application Firewalls werden üblicherweise Wildcard Zertifikate verwendet. Mehr »

Exchange 2016: OPNsense, HAProxy und Let’s Encrypt

OPNSense ist ein Fork der bekannten OpenSource Firewall PFSense, mir persönlich gefällt OPNSense besser, die GUI ist aufgeräumter, es gibt eine REST-Api und die wichtigsten PlugIns sind ebenfalls verfügbar. Da für OPNSense ein Plugin für HAProxy und auch für Let’s Encrypt existiert, habe ich angefangen diese Kombination in Verbindung mit Exchange 2016 zu testen. OPNSense kann also direkt ein kostenloses Zertifikat von Let’s Encrypt anfordern und kümmert sich dann auch selbstständig um die Erneuerung. Kostenlose Firewall und kostenlose Zertifikate, hört Mehr »

Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 2)

In Teil 1 wurden bereits die Vorbereitungen für Let’s Encrypt Zertifikate und Exchange 2010 durchgeführt. Dieser Artikel baut daher direkt auf Teil 1 auf. In Teil 1 wurde die Exchange Organisation entsprechend angepasst, daher geht es in Teil 2 direkt weiter mit der Konfiguration den öffentlichen DNS. Ich habe ich noch vergessen zu erwähnen, dass die komplette Umgebung auf Windows Server 2008 R2 installiert ist. Ich habe mich absichtlich für Server 2008 R2 entschieden, da es für Exchange 2010 eine weit Mehr »

Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 1)

Zertifikate von Let’s Encrypt werden immer beliebter, ist ja auch kaum verwunderlich, denn die Zertifikate sind kostenlos und es gibt einfache Clients um die Zertifikate zu bekommen. Let’s Encrypt Zertifikate sind zwar nur 3 Monate lang gültig, aber die verfügbaren Clients übernehmen das Erneuern der Zertifikate. Exchange 2016 lässt sich sogar mit einem kleinen PowerShell Script völlig automatisieren. Im Prinzip ist dieses auch mit Exchange 2010 machbar, was bereits einige angefragt haben und das Script sogar selbst abgewandelt haben. Damit Mehr »

Exchange 2016: Zertifikatsassistent für Let’s Encrypt

Ich hatte es ja bereits angekündigt, dass der Zertifikatsassistent ein Update für Let’s Encrypt erhält. Die Version für Exchange 2016 ist jetzt fertig. Der Zertifikatsassistent kann mit wenigen Angaben ein Zertifikat von Let’s Encrypt holen und danach auch vollautomatisch erneuern. Getestet habe ich dieses Script bisher mit Windows Server 2016 und Exchange Server 2016. Tests für Server 2012 R2 und Exchange Server 2013/2016 bereite ich gerade vor und werde die Version ggf. entsprechend anpassen. Bisher gibt es also nur Unterstützung Mehr »

Exchange 2016: Let’s Encrypt Zertifikat erneuern

In einem vorherigen Artikel hatte ich bereits beschrieben, wie die kostenlosen Let’s Encrypt Zertifikate mittels PowerShell angefordert und den Exchange Diensten zugewiesen werden können. Derzeit arbeite ich daran, den kompletten Prozess vom Anfordern des Let’s Encrypt Zertifikats bis zum automatischen Erneuern mit der PowerShell zu automatisieren. Ziel ist ein Fire-and-Forget Script für die Exchange Zertifikate, mal sehen ob es klappt. In dem Anfangs verlinkten Artikel klappte bereits das Anfordern eines Zertifikats via Let’s Encrypt. Die Zertifikate sind allerdings nur 3 Monate Mehr »

Apple, ActiveSync und StartCom / StartSSL / WoSign

Derzeit erreichen mich viele Anfragen zu ActiveSync und Apple Geräten. Apple Geräte möchten mit der integrierten Mail App keine ActiveSync Verbindung mit Exchange herstellen. Wer seine Umgebung also in der folgenden Beschreibung wiederfindet, läuft in das beschriebe Problem: Apple Geräte mit der integrierten Mail App (iPhone, iPad) Das SSL Zertifikat stammt von StartCom / StartSSL oder WoSign Der Remote Connectifity Analyzer meldet keine Probleme Active Sync funktioniert auf den Apple Geräten nicht Ich hatte verschieden Artikel zu kostenlosen Zertifikaten veröffentlicht, Mehr »

Exchange 2016: DNS-Namen für Zertifikate ermitteln (Quick & Dirty)

Die DNS-Namen der konfigurierten URLs der virtuellen Exchange Verzeichnisse sind für das SSL-Zertifikat relevant. Die entsprechenden DNS-Namen müssen auf dem Zertifikat als SAN (Subject Alternate Name) vorhanden sein. Dieses kleine Script listet alle konfigurierten DNS-Namen der Exchange 2016 Server auf. Somit lässt sich das Zertifikat entsprechend beantragen und ausstellen. $AllExchangeServers = Get-ExchangeServer foreach ($ExchangeServer in $AllExchangeServers) { [array]$CertNames += (Get-ClientAccessService -Identity $ExchangeServer.Name).AutoDiscoverServiceInternalUri.Host [array]$CertNames += (Get-OutlookAnywhere -Server $ExchangeServer).Internalhostname.Hostnamestring [array]$CertNames += (Get-OutlookAnywhere -Server $ExchangeServer).ExternalHostname.Hostnamestring [array]$CertNames += (Get-MapiVirtualDirectory -Server $ExchangeServer).Internalurl.Host [array]$CertNames += (Get-MapiVirtualDirectory -Server Mehr »