Dienstag, 19. September 2017

[EXCHANGE][SSL][IIS] Mit Lets Encrypt ein Gratis SSL Zertifikat für Exchange Server installieren


WICHTIG:
-Der Server muss mit HTTP (Port 80) erreichbar sein
-Die DNS Namen müssen auf den Server zeigen und öffentlich zugänglich sein


Update:
Neues Tool

https://certifytheweb.com

1: Im IIS Manager, bestehende Namen anschauen (Bindungen):

z.B:
mail.contoso.com
autodiscover.contoso.com


Wichtig: Falls nicht vorhanden, die Bindungen erstellen, sonnst kann es nicht automatisch erneuert werden!

Neues Zertifikat erstellen:

IIS Site auswählen und die Domänen-Namen prüfen

Unter Advanced ggf. den wwwroot anpassen

Das Zertifikat mit Request Certificate anfordern


Sofern alles OK, die Bindungen in IIS überprüfen


Configure Auto Renew einrichten

Fertig

Zur Info: Das PFX Zertifikat wird im folgenden Ordner gepseichert:
C:\ProgramData\ACMESharp\sysVault\99-ASSET









ALTES TOOL:



Tool:
https://github.com/Lone-Coder/letsencrypt-win-simple





1: Im IIS Manager, bestehende Namen anschauen (Bindungen):

z.B:

mail.contoso.com
autodiscover.contoso.com

Wichtig: der erste Name muss bei der Bindung stehen (oder Zusätzliche Bindung)
sonnst wird beim erneuern nicht das neue Zertifikat hinterlegt!


2: Ordner erstellen via CMD:



CD %SystemDrive%\inetpub\wwwroot
mkdir .well-known
cd .well-known
mkdir acme-challenge

3: SSL Deaktivieren für die neuen Ordner

IIS Manager, auf den neuen Ordner .well-known klicken
SSL Einstellungen

SSL erforderlich rausnehmen -> übernehmen

4: Das Tool extrahieren und den Ordner nach C:\ kopieren (C:\letsencrypt-win-simple)

Die Datei web_config.xml aus dem Ordner, nach

C:\inetpub\wwwroot\.well-known\acme-challenge kopieren UND in web.config umbenennen

5: Zertifikat generieren:

letsencrypt.exe via CMD starten

Folgende eingaben:


E-Mail für Benachrichtigungen:
administrator@contoso.com

Lizenzbestimmungen akzeptieren mit: Y

Neues Zertifikat mit: N

Hostnamen Manuell eingeben mit: 4

Hostnamen eingeben (kommagetrennt): mail.contoso.com, autodiscover.contoso.com

Sitepath: %SystemDrive%\inetpub\wwwroot


Sollte alles korrekt sein, wird nun das zertifikat, die Pfade etc erstellt. 
Wichtig hierbei:
Authorization result: valid

für jeder Hostname!!

Für das erneuern wird eine Windows Aufgabe erstellt, ich würde keinen Benutzer angeben, also: N

Neustarten wollen wir nicht, sofern alles geklappt hat, also: N



6: Im IIS kannn nun das neue Zertifikat in den Bindungen ausgewählt werden

7: Testen mit Internet Explorer


Info:
Die zertifikate befinden sich hier:
C:\ProgramData\letsencrypt-win-simple\









Keine Kommentare:

Kommentar veröffentlichen