Landschaftsgest 10 Geschrieben 22. Oktober 2008 Melden Teilen Geschrieben 22. Oktober 2008 Hallo zusammen. Habe zu folgender Umgebung ein paar Fragen: Exchange 2007 SP1 auf W2K3 SP2 x64 (internes Netz) ISA 2006 SP1 auf W2K3 SP2 x86 (internes Netz) Firewall Cisco ASA 5580 Es soll OWA nach draußen gebracht werden. In der Firewall wird Port 443 zum ISA weitergeleitet und dann per Regel zum Exchange. Soweit das Grobe. Meine Frage: Wie muss nun das öffentliche Zertifikat ausgestellt werden? D.h. auf welchen Namen? Es gibt nur eine öffentliche IP auf die kein Name registriert ist. Noch eine Frage: Wie wird so ein öffentliches Zertifikat geprüft? Wird hier nur die CA abgefragt? Oder gibt es auch so etwas wie eine Reverse-Prüfung, so dass der Client? den hinterlegten Namen im Zertifikat "zurückverfolgen" will und dann natürlich an der Firewall hängen bleibt? Oder wie läuft das ab? Bin irgendwie nicht schlau geworden aus den ganzen Doc's... THX schon mal im Voraus Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 22. Oktober 2008 Melden Teilen Geschrieben 22. Oktober 2008 Hallo, also wir haben das neulich so gemacht: Unter dem Firmen-Domain-Namen eine Sub-Domain einrichten z. B. owa.test.de (geht bei jedem halbwegs professionellen Hoster) Dann per A-Record im DNS die owa.test.de auf die öffentliche IP zeigen lassen. Zertifikat auf owa.test.de registrieren - fertig. Wenn du das Zertifikat von einer "offiziellen" Zertifizierungsstelle ausstellen lässt wird es nur im Browser gepüft bzw. mit den offiziellen CA-Listen abgeglichen. Somit wird das Zertifikat ohne murren von deinen Clients akzeptiert. Gruß Christian Zitieren Link zu diesem Kommentar
Landschaftsgest 10 Geschrieben 22. Oktober 2008 Autor Melden Teilen Geschrieben 22. Oktober 2008 Danke schön für die schnelle Antwort. Ich dachte mir so etwas schon, daher habe ich lieber noch mal gefragt... Das Zertifikat wird dann auf dem ISA oder dem Exchange installiert? Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 22. Oktober 2008 Melden Teilen Geschrieben 22. Oktober 2008 gerne doch :D auf dem Exchange (bzw. auf dem Server auf dem OWA gehostet wird). Denn das ist ja der "Endpunkt" für die verschlüsselte Kommunikation. Du musst natürlich auch die CSR (Zertifikatsanforderung) im IIS auf dem OWA-Server erstellen. Gruß Christian Zitieren Link zu diesem Kommentar
Landschaftsgest 10 Geschrieben 22. Oktober 2008 Autor Melden Teilen Geschrieben 22. Oktober 2008 Hi ho. Das mit der Zert-Anforderung hab ich schon überall gelesen. Gibt ja genug HowTo's dazu. ;) THX noch mal Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 22. Oktober 2008 Melden Teilen Geschrieben 22. Oktober 2008 auf dem Exchange (bzw. auf dem Server auf dem OWA gehostet wird). Denn das ist ja der "Endpunkt" für die verschlüsselte Kommunikation. Falsch. Wenn man einen ISA einsetzt, dann sollte man auch seine Möglichkeiten nutzen. Der ISA 2006 präsentiert dem Nutzer die OWA Seite. Damit hat Exchange erstmal überhaupt noch nix zu tun. Damit ist dann auch die SSL Kommunikation am ISA erstmal beendet. Ob man sie vom ISA aus wieder zum Exchange 2007 aufbaut (SSL Bridging) ist nicht zwingend. Du musst natürlich auch die CSR (Zertifikatsanforderung) im IIS auf dem OWA-Server erstellen. AUch falsch. Wo der CSR erstellt wird ist egal. Das kann man von jedem IIS (Webserver allgemein) erfolgen. Bye Norbert – Hi ho. Das mit der Zert-Anforderung hab ich schon überall gelesen. Gibt ja genug HowTo's dazu. ;) THX noch mal Hi, für Exchange 2007 gibts in der Technet genug Beispiele dafür. Ansonsten generell: Formbased OWA (Ist zwar für Exchange 2003 und ISA 2004, gilt aber technisch analog für die neueren Versionen genauso) Bye Norbert Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 23. Oktober 2008 Melden Teilen Geschrieben 23. Oktober 2008 Hallo, Falsch. Wenn man einen ISA einsetzt, dann sollte man auch seine Möglichkeiten nutzen. Der ISA 2006 präsentiert dem Nutzer die OWA Seite. Damit hat Exchange erstmal überhaupt noch nix zu tun. Damit ist dann auch die SSL Kommunikation am ISA erstmal beendet. Ob man sie vom ISA aus wieder zum Exchange 2007 aufbaut (SSL Bridging) ist nicht zwingend. Das ist nicht falsch, das ist eine andere Möglichkeit. AUch falsch. Wo der CSR erstellt wird ist egal. Das kann man von jedem IIS (Webserver allgemein) erfolgen. Ok. Dann muss doch aber auch der generierte private Schlüssel auf den zu sichernden Server kopiert werden, oder? @ Norbert - wenn ich was falsch verstanden haben sollte, klär mich bitte auf ;) Gruß Christian Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 23. Oktober 2008 Melden Teilen Geschrieben 23. Oktober 2008 Das ist nicht falsch, das ist eine andere Möglichkeit. Ja, allerdings die schlechtere. OWA wird im Übrigen immer von Exchange gehostet. Ok. Dann muss doch aber auch der generierte private Schlüssel auf den zu sichernden Server kopiert werden, oder? Naja das Zertifikat mit private key. Wobei es eben egal ist, welcher Server das Zertifikat ursprünglich angefordert hat. Solange der Name des Zertifikats stimmt. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.