Zertifikat mit mehreren Namen für Exchange 2003 erstellen

[Superstruppi 13]

Hallo,

 

wir hatten bisher nur selbstsignierte (mit SELFSSL) Zertifikate im Einsatz, wo die Erstellung eines Zertifikates mit mehreren Servernamen problemlos möglich ist.

 

Nun haben wir eine CA im Einsatz, die uns die Zertifikate signiert. Über den Assistent für die Erstellung eines Serverzertifikates kann man allerdings nur einen Namen angeben. Das funktioniert dann zwar für OWA, aber der Zugriff auf die öffentlichen Ordner mit ESM liefert folgenden Fehler:

 

"Der Servername auf dem SSL-Zertifikat ist falsch."

 

Frage: Wie kann ich ein SSL-Zertifikat mit zwei Namen mit einer (eigenen) CA erstellen?

 

Ich kenne nur die Option für den Exchange 2007: Konfigurieren von SSL-Zertifikaten für die Verwendung von mehreren Hostnamen für Clientzugriffsserver

Doch funktioniert ein solches Zertifikat auch bei Exchange 2003?

 

 

Freu mich über jeden Tipp!

Besten Dank u. lg,

Mario.

[NorbertFe 2.032]

Doch funktioniert ein solches Zertifikat auch bei Exchange 2003?

 

 

Glaub ich nicht, aber was spricht gegen einen kurzen Test? Erfahrungsberichte willkommen. ;)

 

Bye

Norbert

[Superstruppi 13]

:-) Nein, das funktioniert leider nicht. Weil die Werte in der "alternative Bezeichnung" nicht den "Aussteller" ändert.

 

Ich brauche ein Zertifikat, das im Aussteller zwei Werte beinhaltet:

1. servername.domäne.local

2. mail.extdomäne.at

 

das SELFSSL Zertifikat kann ich leider über die CA nicht bestätigen.

[NorbertFe 2.032]

:-) Nein, das funktioniert leider nicht. Weil die Werte in der "alternative Bezeichnung" nicht den "Aussteller" ändert.

 

Natürlich nicht.

 

Ich brauche ein Zertifikat, das im Aussteller zwei Werte beinhaltet:

1. servername.domäne.local

2. mail.extdomäne.at

 

Wozu?

 

Bye

Norbert

[Superstruppi 13]

damit esm öff. ordner verwaltung UND unser owa zugriff von extern funktioniert. - ohne zertifikatfehlermeldung

[firefox80 10]

Idee: Am IIS einen 2. Virtuellen Server einrichten, der auf einem anderen Port läuft und dort das Zertifikat für den öffentlichen Namen hinterlegen. Am Router machst du noch eine Port Translation, damit alle Anfragen von 443 auf xy geleitet werden. Damit schließt du dann auch aus, dass andere Verzeichnisse von außen erreichbar sind, da sie einfach am 2. V-Server nicht existieren.

 

Klingt nach einer Bastellösung, die ich selbst auch noch nicht ausprobiert habe. Deshalb als Idee noch die Luxus Lösung: Veröffentliche deinen Exchange über einen ISA Server und mach ein SSL Bridging. ;)

 

LG

[Superstruppi 13]

danke, wir haben keinen isa im einsatz

[NorbertFe 2.032]

damit esm öff. ordner verwaltung UND unser owa zugriff von extern funktioniert. - ohne zertifikatfehlermeldung

 

Du brauchst dann aber kein Zertifikat mit zwei Ausstellern, sondern mit zwei ausgestellten Namen. Der Aussteller hat nichts mit dem Servernamen zu tun. (ausser bei selfssl ;))

 

Bye

Norbert

[Superstruppi 13]

ok, das leuchtet ein. wie kriege ich dann ein zertifikat mit zwei namen?

 

dank u. gruß

[NorbertFe 2.032]

ok, das leuchtet ein. wie kriege ich dann ein zertifikat mit zwei namen?

 

dank u. gruß

 

Erstellst du dir mit deiner installierten CA.

Such mal nach SAN Certificates in der MSKB.

 

Bye

Norbert