Blog by PQR

Exchange 2010 heeft een mooie wizard voor het aanmaken/ aanvragen van een certificaat, helaas kun je deze wizard niet altijd gebruiken…

De Exchange 2010 wizard

Exchange 2010 heeft een grafische wizard welke helpt met het aanvragen en installeren van een certificaat. Wanneer je een publiek certificaat wil aanvragen dan moet je een certificate signing request (CSR) aanmaken. In zo’n CSR staat bijvoorbeeld de informatie over het bedrijf dat het certificaat gaat gebruiken en de URL’s waarvoor het certificaat moet gelden. Wanneer je de wizard in Exchange 2010 gebruikt dan selecteer je de diensten waarvoor je het certificaat wil gebruiken. Aan de hand van de geselecteerde diensten worden de juiste URL’s in het CSR opgenomen en verschijnen uiteindelijk de juiste URL’s op het certificaat. Wanneer je een certificaat request wil maken voor de Exchange 2010 diensten AutoDiscover en Outlook Web App dan kun je hiervoor de wizard gebruiken:

Wanneer je de diensten hebt geselecteerd die je wilt gaan gebruiken dan heb je ook nog de mogelijkheid om alternatieve URLs toe te voegen. Daarnaast moet je nog selecteren wat de zogenaamde Common Name (CN) van het certificaat wordt:

Door een FQDN te selecteren en vervolgens te klikken op ‘Set as Common Name’ stel je de CN in. Vervolgens kun je de gegevens van je organisatie invullen en uiteindelijk wordt er een zogenaamd ‘.req’ bestand aangemaakt. Hoewel je de wizard gebruikt, wordt er onderwater natuurlijk gewoon een Exchange Management Shell commando geïnitieerd. Dit commando ziet er als volgt uit:

 New-ExchangeCertificate -FriendlyName 'Test' -GenerateRequest -PrivateKeyExportable $true -KeySize '2048' -SubjectName 'C=NL,S="Utrecht",L="De Meern",O="Virtuall",OU="Systeembeheer",CN=webmail.virtuall.nl' -DomainName 'server1.virtuall.local','server2.virtuall.local','webmail.virtuall.nl','autodiscover.virtuall.local','autodiscover.virtuall.nl' -Server 'PORTLAND'

De inhoud van het req bestand is nodig bij de certificaat aanvraag. Een req bestand kan er als volgt uitzien:

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIEljCCA34CAQAwezEcMBoGA1UEAwwTd2VibWFpbC52aXJ0dWFsbC5ubDEWMBQG
A1UECwwNU3lzdGVlbWJlaGVlcjERMA8GA1UECgwIVmlydHVhbGwxETAPBgNVBAcM
CERlIE1lZXJuMRAwDgYDVQQIDAdVdHJlY2h0MQswCQYDVQQGEwJOTDCCASIwDQYJ
KoZIhvcNAQEBBQADggEPADCCAQoCggEBANPFLiULJ9yVUaKAVjc9PrzjbgjPy69f
Nwffaf8Hu9aydhbD7DHmP7HGwbHEedGLZMqLE4V4D1o5XY7VKXVYD4DlGvDfkJE8
U/l76RWIdQboEuysRl75IXK+i9PgP8Zt9bAkyDb+qKpUyPligJsqDqNPx7e/PF2l
tVedDivUo7wAJUMC8FckiOGpKjp5mLIilRMIJFcY2KMuiq6rlc+7ETHi8Iuzca41
D/yNJ5ZhqqfsdZp0S6dANuN+S0oBpVtq6IHpyhGks3H1HCrjqmK+bk50pZ5vyn+8
ulyd8Fdt7PWaTlU30XQ6xiGPlr4ykdKXDkduJzCNJYvEwMxGBNkVgVcCAwEAAaCC
AdQwGgYKKwYBBAGCNw0CAzEMFgo2LjEuNzYwMC4yMGMGCSsGAQQBgjcVFDFWMFQC
AQUMF3BvcnRsYW5kLnZpcnR1YWxsLmxvY2FsDBJWSVJUVUFMTFxQT1JUTEFORCQM
Ik1pY3Jvc29mdC5FeGNoYW5nZS5TZXJ2aWNlSG9zdC5leGUwcgYKKwYBBAGCNw0C
AjFkMGICAQEeWgBNAGkAYwByAG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBu
AG4AZQBsACAAQwByAHkAcAB0AG8AZwByAGEAcABoAGkAYwAgAFAAcgBvAHYAaQBk
AGUAcgMBADCB3AYJKoZIhvcNAQkOMYHOMIHLMA4GA1UdDwEB/wQEAwIFoDCBiwYD
VR0RBIGDMIGAghdwb3J0bGFuZC52aXJ0dWFsbC5sb2NhbIIZY2luY2luYXR0aS52
aXJ0dWFsbC5sb2NhbIITd2VibWFpbC52aXJ0dWFsbC5ubIIbYXV0b2Rpc2NvdmVy
LnZpcnR1YWxsLmxvY2FsghhhdXRvZGlzY292ZXIudmlydHVhbGwubmwwDAYDVR0T
AQH/BAIwADAdBgNVHQ4EFgQUgz09LrIIAbvKfxqUz4qVCMvWkXMwDQYJKoZIhvcN
AQEFBQADggEBADypoODwhHiijP/QdkvRPt4LrZz+9U95ccK46i+5eHmvhWDpA/kK
yt3Dv3PTnZqWGC7wsI36U8+HXDzaymyvcSdgvHzJ6WLMofVP5ZVwhue/dhU8JAaJ
iO6x6kYRsCI1vyamEPEzSi62D2BwjcYq3OxRdKPOPV22gtJXtZThhy9NP8ue0eae
8zyZ90rg+x99KHdWvFeCjG3pPr3KVUvxXmQ8FJ7lYlihUjMk/ub68k6Zfk2bKkuz
ssTtvEVTWY8GF/+Im3WY2QRGQhx4UVkREcbfbIcSvU4jGImi4I1gV4vtuIC1ygfy
rArWAKrprVvJq8d9z3xkUtsfi7DhUkBLfXI=

-----END NEW CERTIFICATE REQUEST-----

Problemen bij het aanvragen van een certificaat

Nu wordt het req bestand zoals het door de Exchange 2010 wizard gegenereerd wordt helaas niet door alle instanties, die certificaten uitgeven, geaccepteerd. Het eerste probleem zit in de witregel voor ----END NEW CERTIFICATE REQUEST---- Sommige instanties controleren hierop en tijdens de aanvraag krijg je de melding dat er een fout in de SAN options zit. Helaas wordt je niet verteld dat dit vanwege de witregel in het req bestand is. De oplossing voor dit probleem is erg eenvoudig: haal de witregel weg :-D

Een tweede punt waarop een certificaat aanvraag kan mislopen is dat zowel bij de optie ‘CN’ als bij ‘DomainName’ een zelfde FQDN staat. Wanneer we even terug kijken naar het Exchange Management Shell commando dan staat er CN=webmail.virtuall.nl’. de FQDN webmail.virtuall.nl zie je echter ook terug achter DomainName. Hier vallen sommige instanties over en ook nu wordt tijdens de aanvraag de melding gegeven dat er een fout in de SAN options zit. Nu is dit geen Exchange 2010 probleem maar een probleem van de instantie waar het certificaat wordt aangevraagd. Als je perse bij deze instantie een certificaat wil aanvragen dan moet je de Exchange Management Shell gebruiken voor het aanmaken van een CSR. Hierbij haal je de FQDN die achter de optie CN staat weg bij de optie DomainName. Om e.e.a. te verduidelijken hier het commando:

New-ExchangeCertificate -FriendlyName 'Test' -GenerateRequest -PrivateKeyExportable $true -KeySize '2048' -SubjectName 'C=NL,S="Utrecht",L="De Meern",O="Virtuall",OU="Systeembeheer",CN=webmail.virtuall.nl' -DomainName 'server1.virtuall.local','server2.virtuall.local',’autodiscover.virtuall.local','autodiscover.virtuall.nl' -Server 'server1'

Het request dat door bovenstaand commando wordt gegenereerd wordt wel geaccepteerd.

Zo zie je maar weer dat de we soms niet om de EMS heen kunnen.