Zertifikat bei GoDaddy
Aufgrund der günstigen Preise ist GoDaddy eine häufig anzutreffende CA bei OCS. Der Prozess ist dabei mehrstufig:
- Zertifikat bestellen und Account anlegen
Zuerst muss das "Geld" fließen, d.h. über die Webseite bestellen Sie das gewünschte Zertifikat. Die Bezahlung per Kreditkarte ist vermutlich am einfachsten. Allerdings müssen Sie sich noch ein "Konto" anlegen, mit welchem dann die Zertifikate später verwaltet werden. Es ist sogar möglich, dass man Bestellung und Beantragung "trennt", denn nach der Bestellung findet der Administrator in der Zertifikatsverwaltung nur einen "Credit" vor.
Achtung: GoDaddy hat per Default ein "Auto Renewal", d.h. 30 Tage für Ablauf wird automatisch eine Rechnung geschrieben und die Kreditkarte belastet, damit das ablaufende Zertifikat schnell verlängert werden kann. Das kann man abschalten. Enabling and Disabling Auto-Renewal http://help.godaddy.com/topic/495/article/1042
- Zertifikat anfordern
Mit dem Credit kann der Administrator dann in der Verwaltung das Zertifikat anfordern. Dazu benötigt man natürlich erst mal einen "Zertifikats-Request". Hier z.B. über die PowerShell von Net at Work angefordert.
New-ExchangeCertificate ` -GenerateRequest ` -SubjectName "c=DE, o=Net at Work GmbH, cn=owa.netatwork.de" ` -DomainName owa.netatwork.de,sip.netatwork.de,gate.netatwork.de,extranet.netatwork.de,rdp.netatwork.de ` -privatekeyexportable $true ` -keysize 2048 ` -Path c:\godaddy091019.req
Die Daten sind keineswegs geheim, denn die spätere Adresse des Webservers, unter dem das Zertifikat zu erreichen ist, können Sie über Autodiscover, Federation und UC und DNS sowieso in Erfahrung bringen. Das Auslesen des Zertifikats ist sowieso "anonym" möglich. Man möchte einem Nutzer ja ERST das Zertifikat geben, damit er sich dann verschlüsselt anmelden kann.
Hier dann ein paar Bildschirmfotos, die erkennen lassen, wie der Prozess abläuft (Stand Oktober 2009)
Unter den "Credits" startet der Prozess zum Rollout:
Im nächsten Fenster ist der "CSR" einzufügen, den man vorher erstellt hat. Kleiner Hinweis: Der Hauptname darf nicht als weiter SAN-Namen mit eingeführt sein. Wenn man den CSR eingestellt hat, dann sendet das Formular schon die Daten zum Server und zeigt dann unten die SAN-Namen an. Die kann man hier sogar wieder entfernen.
Der nächste Schritt zeigt das Zertifikat noch einmal im Detail an. Prüfen Sie hier bitte gewissenhaft, dass Sie sich nicht vertippt haben.
Der nächste Bildschirm zeigt, dass das Zertifikat angefordert wurde. Nun braucht GoDaddy natürlich noch etwas, um zu prüfen, ob Sie berechtigt sind.
In der Übersicht sehen Sie, welchen Status das Zertifikat gerade hat. Diese Bild zeigt, dass der "Domain Name" noch nicht überprüft ist. Das macht GoDaddy über den WHOIS-Record.
Wenn dies nicht funktioniert, bekommen Sie eine Mail, die alternativen Verfahren. Um zu belegen, dass Sie dieses Zertifikat anfordern dürfen, können Sie im WHOIS-Fehlerfall alternativ im DNS einen CNAME-Eintrag oder auf der Webseite des primären Namens eine Datei anlegen. GoDaddy senden ihnen beim Fehler der Domain Überprüfung eine Mail, wie diese Name auszusehen hat.
- Creating a TXT Record für SSL Validation
http://help.godaddy.com/article/4678
TXT Name: DZC
TXT Value : Zugesendeter Code
Damit prüft GoDaddy, ob ich "Chef der DNS-Zone" bin. Bei mir hat es knapp einen Tag gedauert. da ich auf owa.netatwork.de keine Validierungsdatei anlegen wollte und die DNS-Eintragungen eben etwas dauern, bis die Zonen auf allen Server aktualisiert waren. Aber dann konnte das Zertifikat geladen werden:
Die CER-Datei habe ich einfach auf den Exchange 2007-Server herunter geladen und mit "Import-ExchangeCertificate" auf dem Server eingespielt. Damit war das offizielle Zertifikat auf diesem Server installiert und konnte mit "enable-ExchangeCertificate" dann den verschiedenen Diensten zugewiesen werden. Natürlich habe ich das Zertifikat über die MMC auch noch einmal zur Sicherheit in eine PFX-Datei (mit Kennwort) "exportiert"
Weitere Links
- Rolle der CA
- E2K7:Zertifikate
- SSL-Grundlagen
- SAN-Zertifikate
- IIS Zertifikat einrichten
- Clientzertifikat anfordern
- ISA-Server und SSL
- SelfSSL
- www.godaddy.com
- CSR dekodieren
https://secure.comodo.net/utilities/decodeCSR.html - Internet Explorer unterstützt kostenlose Zertifikate
http://www.heise.de/newsticker/Internet-Explorer-unterstuetzt-kostenlose-Zertifikate--/meldung/145948
http://www.startssl.com/ - Wie verlängere ich ein Zertifikat
http://help.godaddy.com/article/864
Enabling and Disabling Auto-Renewal
http://help.godaddy.com/topic/495/article/1042