Exchange 2007 - Aanmaken CSR

Voor het aanvragen van een SSL certificaat is een Certificate Signing Request (CSR) nodig. Genereer de CSR samen met de Private Key op de webserver. Vul voor een wildcard certificaat als CN (Common Name) een * (asterisk) in in plaats van het subdomein, bijvoorbeeld *.sslcertificaten.nl (en geen www.sslcertificaten.nl).



Let op: Voor Exchange wordt meestal een multi-domein certificaat gebruikt. Na 1 november 2015 kunt u geen interne domeinnamen meer opnemen in een multi-domein certificaat.  Vervang daarom de interne domeinnamen voor reguliere domeinnamen.

Om een Certificate Signing Request (CSR) te maken moet het New-ExchangeCertificate cmdlet worden gebruikt vanaf de Exchange Management Shell met admin-rechten. De snap-in voor het MMC en de 'gewone' command line kunnen hiervoor dus NIET worden gebruikt, aangezien ze niet in staat zijn de CSR aan te maken voor Exchange.

Ga naar menu Start Programs Administration ToolsMicrosoft Exchange 2007 en klik op Exchange Management Shell; de Shell wordt geopend.

Voorbeeld

In het voorbeeld hieronder wordt een CSR aangemaakt waarbij exchange.xolphin.nl de volledige domeinnaam (FQDN) van de server is. Het commando komt er als volgt uit te zien:

New-ExchangeCertificate -GenerateRequest:$True -SubjectName "C=NL, O=Xolphin B.V., L=Heerhugowaard, S=Noord-Holland, CN=exchange.xolphin.nl" -Force -FriendlyName Xolphin -Keysize 2048 -Path c:\xolphin.csr -privatekeyExportable:$true 

Vervang de dikgedrukte onderdelen van het commando met de juiste eigen organisatiegegevens. De gebruikte switches in de opdrachtregel zijn als volgt:

  • FriendlyName - Hier kan een heldere naam worden opgegeven voor eigen gebruik, zodat het certificaat later te herkennen is binnen Exchange.
  • Subjectname - Deze switch bevat de organisatiegegevens: C = land, O = organisatie, L = plaats, CN = domeinnaam
  • GenerateRequest - Zorgt dat de CSR gegenereerd wordt in PKCS#10 formaat (de huidige standaard voor CSR's).
  • privatekeyExportable:$true - Zorgt dat het later mogelijk is om de Private Key (en het certificaat) te exporteren.
  • Path - Het pad naar waar het bestand moet worden opgeslagen.

Meerdere domeinnamen

Vaak is het ook de bedoeling om het certificaat te gebruiken voor het beveiligen van andere domeinnamen, zoals autodiscover, de interne servernaam en eventueel nog webmail, owa of terminal services. Deze hoeven echter niet te worden verwerkt in de CSR, die kunnen worden opgegeven in de tweede stap van onze bestelpagina in het vak voor de extra domeinen. Houd er wel rekening mee dat hiervoor een UCC / multi-domein certificaat moet worden besteld, zodat meerdere domeinnamen kunnen worden verwerkt in het certificaat.

Kopieer de volledige inhoud van de aangemaakte CSR, inclusief begin- en eindregels, om een certificaat te bestellen. 

Certificaat aanvragen

Exchange 2007 - Installatie certificaat

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.