wolfiru

Hatte keinen Anbieter gefunden, der um 15€ ein Wildcard oder Multidomain-Zertifikat für 3 Domains hergibt. Den Anbieter postest du hier bitte noch. Geheimwissenschaft sicher nicht, aber entsprechend aufwendig sich da einzuarbeiten und in einem laufenden System umzusetzen. Ich habe auch noch andere Aufgaben. Frage mich, was jemand arbeitet, der so eine Kalkulation aufstellt? Und der Mehrwert für diese vielen Stunden ist dann genau welcher? Beende hiermit jetzt auch die Debatte und bedanke mich :) Grüße Wolfi

Was die Frage aufwirft was sinnvoll ist in diesem Fall: Wir sind hier ein Admin Team von 2 Personen im öffentlichen Dienst, die an die 200 PCs betreuen. Wir können nicht jede Software, die im Einsatz ist bis ins kleinste Detail kennen. Das bedeutet: Ja manches kann man sicher optimaler lösen. Das bedeutet aber auch, dass ich für optimalere Lösungen manchmal teure Externe Dienstleister zukaufen müsste. Wäre grundsätzlich kein Problem, die Steuerzahler müssen das eben einfach bezahlen. Externe Zertifikate um das "sauber" umzusetzen kosten Jährlich vermutlich so um die 150€. Ein externer Dienstleister, welcher mir den Exchange jetzt "optimal" herrichtet, kommt vermutlich auch auf ~1.000,- EUR. Was meinst du ist für den Steuerzahler besser? Dass ich hier mit einem selbstsignierten Zertifikat fahre, welches mit keinerlei Folgekosten verbunden ist und ihm auch noch die Kosten der Uminstallation erspare. Oder hier jetzt das Geld einfach nehme, das alles "optimal" Umbaue, aber trotzdem in der Anwendung keinen Mehrwert habe. Sicherheitsrisiko oder Stabilitätsrisiko ist es m.E. nicht. Die meiste Zeit habe ich jetzt eigentlich damit verschwendet, da ich dachte ich müsste wirklich vom selbstsignierten Zertifikat weg, weil dies das Problem ist. Aber das hat dem Steuerzahler nichts gekostet, weil ich hier sowieso arbeite und einsparen könnte man mich wohl auch schlecht. Mit einer Person kann man keine 200 PCs und Server betreuen. Soviel zu "sinnvoll". Beste Grüße Wolfi

Bei 3 oder 4 iPhone Usern wohl nicht wirklich ein Problem. Vor allem, da die ohnehin zu uns kommen zum Einrichten. Da muss nichts erklärt werden. Man kann sich Probleme auch herbeireden. Für mich die praktikabelste Lösung :)

Grundsätzlich natürlich schon. Aber wenn ich das auf einem Android-Handy mache und mich an den Exchange binde, dann kann ich ihm sagen, dass das Zertifikat okay ist und alles funktioniert. Die Option sollte auch bei einem iPhone gegeben sein, denke ich. Nachdem das Android Handy wieder schreit, wenn sich das Zertifikat ändert, ist das auch kein Sicherheitsrisiko. Problem gelöst: Das selbstsignierte Zertifikat ist überhaupt kein Problem. Auch nicht ein "nicht korrekt konfigurierter Exchange Server", wie hier behauptet wird. Das Problem war das Betriebssystem beim iPhone. - Denn selbst wenn man ihm das CA Zertifikat installiert, dann vertraut es diesem per se noch nicht. Man muss dann noch in den Einstellungen anhaken, dass es sich um ein "Vertrauenswürdiges Zertifikat" handelt. Nach diesem Extraschritt, der am iPhone noch auszuführen war, funktioniert auch alles. Die Option befindet sich tief versteckt unter Einstellungen - Allgemein - Über - Einstellungen - [Vertrauenswürdige Zertifikate] Beste Grüße Wolfi

Ja, das habe ich schon befürchtet, dass ich mir hier jemanden externen kommen lassen muss. Sehr ärgerlich so ein Aufwand, nur weil diese iPhones das nicht ignorieren können und sich ein paar Mitarbeiter das einbilden haben zu müssen.

Danke für den Tipp. Bin über einen anderen Anbieter auch schon auf Certum gekommen. Die scheinen da für bis zu 4 Subdomains die günstigsten zu sein. Was mir jetzt aufgefallen ist. Ich habe im selbstsignierten Zertifikat auch die interne Domainenbezeichung drinnen und weiß nicht, ob ich dann nur mit dem Externen Zertifikat nicht in neue andere Probleme reinlaufe. Keine Ahnung, ob das Outlook die internen verwendet. Jedenfalls habe ich da auch autodiscover.<intern>.local oder <intern>.local drinnen verspeichert, sowie den Servernamen EXCH2016. Leider ist das für mich total intransparent, wie das Outlook abarbeitet. Bei IMAP oder POP hab ich meine Konfig, wo ich die URL eingebe, aber Outlook hat irgendwie seine eigenen Vorstellungen wie das abzulaufen hat...

Ja, bin gerade dabei zu sehen, welcher der günstigste Anbieter ist. .... Ja wenn man das immer vorher wüsste. Manchmal klappt was gut und ein andermal kommt man von einem Problem zum Nächsten...

Ich hab jetzt 1.5h versucht das zum Laufen zu bringen. Leider ohne Erfolg. Zuerst muss man da noch ein Posh-ACME installieren, damit das Script funktioniert. Dieses will wieder irgend ein NuGet installieren und bricht mir dort immer mit einer Fehlermeldung ab, dass kein Anbieter NuGet gefunden werden kann. Ich fürchte da komme ich nicht wirklich weiter.

Ich habe einige Let's Encrypt Zertifikate auf einer Linuxmaschine mit Apache laufen, wo ein Task läuft, welcher die notwendigen Let's Encryp-Zertifikate immer wieder erneuert. Das Problem bei Lets Encrypt ist ja, dass die Zertifikate nach einiger Zeit immer wieder erneuert werden müssen. Kann man das auch für den Exchange automatisieren. Ich weiß jetzt auch nicht genau welche Namen ich da alle anmelden muss. Autodiscover und ... und ... ? Gruß Wolfi

Liebe Forumsuser, ich komme bei der Anbindung von IPhones an den Exchange nicht weiter. Bis jetzt hatten wir hauptsächlich Android im Einsatz, wo man das Zertifikatsproblem überspringen kann, aber es werden immer mehr IPhone User und jetzt muss ich das leider angehen. Ich verstehe nicht, welches Zertifikat da nicht stimmen soll. Die Zertifikate vom Exchange-Server für unseren OWA habe ich selbst signiert von unserem Domänenkontroller. Ich habe das über Firefox getestet und ihm das Domänenkontroller-CA-Zertifikat eingespielt und seitdem ist für ihn das OWA Zertifikat wenn ich die OWA Seite im Browser aufrufe in Ordnung. Wenn ich dieses Domänenkontroller-CA-Zertifikat allerdings am Handy einrichte, dann meint das IPhone noch immer, dass irgend ein Zertifikat nicht passt. Das selbe konnte ich jetzt auch auf meinem Android-Handy nachvollziehen. Es sagt auch "Anmeldefehler: Ihr E-Mail-Server-Zertifikat ist ungültig. Möchten Sie sich trotzdem anmelden?" - Leider erhalte ich keinerlei Information was für ein Zertifikat das denn nun ist. Wird denn hier ein anderes Zertifikat geschickt als dass jenige welches für den IIS und die OWA Seite verwendet wird? Welches Dienst-Zertifikat wird da mitgeschickt? Ich habe auch noch einen weiteres Zertifikat gefunden, welches ebenfalls den Dienst IIS und SMTP zugewiesen hat. Der Aussteller ist da der Exchange-Server selber. Eventuell wird das mitgesendet. Allerdings weiß ich nicht wie ich den Exchange-Server als CA exportieren kann, bzw. ob das überhaupt geht? Wäre für nen Hinweis dankbar! Beste Grüße Wolfi