crivi 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Hallo zusammen Wir betreiben einen Exchange 2007. Nun ist des öftern der Wunsch geäussert worden, auch von extern auf diesen via OWA zugreifen zu können. Dem steht eigentlich nix im Web. HTTPS Port in der Firewall öffnen und auf Exchange Server weiterleiten. Nun haben wir lediglich noch das Problem mit den Zertifikaten. Ich habe hier desöftern gelesen man müsse sog. SAN-Zertifikate nehmen. Nun habe ich hierzu einige Fragen: Der OWA wird folgendermassen angesprochen srv02.domain.ltd/owa Gibt es die Möglichkeit, das Zertifikat auch für andere SubDomains zu nutzen, oder muss ich das Zertifikat zwingend auf srv02.domain.ltd ausstellen? Woher bekomme ich ein solches Zertifikat? Wie muss ich das Zertifikat beim Exchange Server einfügen? Habt Ihr bei euch auch einfach den HTTPS-Port gegen aussen geöffnet, oder wie habt ihr den OWA gegen aussen publiziert? Besten Dank für Eure Hilfe. Gruss Raffi Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Hallo crivi Der OWA wird folgendermassen angesprochen srv02.domain.ltd/owa Gibt es die Möglichkeit, das Zertifikat auch für andere SubDomains zu nutzen, oder muss ich das Zertifikat zwingend auf srv02.domain.ltd ausstellen? Du kannst mehrere Domainnamen in das selbe Zertifikat packen. Genau das sind ja die Vorteile eines SAN-Zertifikats Woher bekomme ich ein solches Zertifikat? Beispielsweise Verisign, Thawte, GoDaddy um nur einige zu nennen. Mit Thawte habe ich bisher die besten Erfahrungen Wie muss ich das Zertifikat beim Exchange Server einfügen? Mittels Import-ExchangeCertificate und Enable-ExchangeCertificate Habt Ihr bei euch auch einfach den HTTPS-Port gegen aussen geöffnet, oder wie habt ihr den OWA gegen aussen publiziert? Sowohl über ISA2006 veröffentlicht, als auch direkt auf den Server weitergeleitet. Kommt auf den Kunden drauf an Zitieren Link zu diesem Kommentar
crivi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 Vielen Dank für Deine Antwort. Kann ich mir das SAN-Zertifikat wie ein SSL Zertifikat mit mehreren Domains vorstellen? Kann ich das SAN Zertifikat schlussendlich auch für https im IIS verwenden? Gruss Raffi Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Sowohl über ISA2006 veröffentlicht, als auch direkt auf den Server weitergeleitet. Kommt auf den Kunden drauf an Wobei bei der Verwendung von ISA 2006 der interne Name nicht im SAN Cert auftauchen muß. Denn der ist über extern sowieso nicht zu erreichen... Bye Norbert Zitieren Link zu diesem Kommentar
crivi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 Wir verwenden keine ISA Firewall. Wir regeln dies über eine Linux Firewall. Bei Thawte finde ich keine SAN Zertifikate. Gibt es für diese Zertifikate noch eine andere Bezeichnung? Besten Dank. – Aber rein theoretisch würde in meinem Fall ein einfaches SSL-Zertifikat auch reichen, oder? Ich brauche lediglich ein Zertifikat für die Domain srv02.domain.ltd, da ich via https://srv02.domain.ltd/owa darauf zugreife. Ein SAN bräuchte ich, wenn ich noch srv03.domain.ltd und srv04.domain.ltd hinzunehmen möchte. Oder sehe ich das falsch? Gruss Raffi Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Wir verwenden keine ISA Firewall. Wir regeln dies über eine Linux Firewall. Es ging auch eher prinzipbedingt darum, weil du nach dem internen Namen fragtest. Und wenn man den extern nicht präsentieren will, dann sollten man eben um entsprechende Maßnahmen wissen. Bye Norbert Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Microsoft empfiehlt ausserdem noch den autodiscover.domain.tld als Subject Alternative Name mit in das Zertifikat aufzunehmen. Zitieren Link zu diesem Kommentar
crivi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 autodiscover.domain.ltd gibt es bei mir gar nicht. Bei mir heisst es https://srv02.domain.ltd/autodiscover Ist dies auch korrekt? Gruss Raffi Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Betrifft hauptsächlich Outlook 2007, welches per default folgende Hostnamen für die Webservices (OOF/FreeBusy etc) anfrägt: https://autodiscover.domain.tld/autodiscover.xml https://autodiscover.domain.tld/autodiscover/autodiscover.xml Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Hallo, Frank Carius hat einen recht guten Artikel dazu: MSXFAQ.DE - SANZertifkate Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 autodiscover.domain.ltd gibt es bei mir gar nicht. Bei mir heisst es https://srv02.domain.ltd/autodiscover Ist dies auch korrekt? Gruss Raffi Sollte es aber geben, da du sonst Probleme mit OOF/OAB und Autodiscover bekommen kannst. ;) Siehe Links von Brainstorm. Bye Norbert Zitieren Link zu diesem Kommentar
crivi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 Also der Servername ist srv02 Die Domain ist domain.ltd Der Server wird von extern srv02.domain.ltd Muss ich nun noch eine Subdomain autodiscover.domain.ltd einrichten, welche auf die IP des srv02.domain.ltd zeigt? Würde das so reichen? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Also der Servername ist srv02Die Domain ist domain.ltd Der Server wird von extern srv02.domain.ltd Muss ich nun noch eine Subdomain autodiscover.domain.ltd einrichten, welche auf die IP des srv02.domain.ltd zeigt? Würde das so reichen? Es reicht wenn du einen Alias (CNAME) Eintrag im DNS anlegst. Wenn du Outlook 2007 über das Internet (Outlook Anywhere) nutzen möchstest, dann solltest du ebenfalls einen Eintrag autodiscover.domain.tld von deinem DNSProvider eintragen lassen. Alternativ dazu kannst du auch das Verhalten von Outlook beeinflussen oder folgenden KB Eintrag befolgen ;) A new feature is available that enables Outlook 2007 to use DNS Service Location (SRV) records to locate the Exchange Autodiscover service Zitieren Link zu diesem Kommentar
crivi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 Ah okay. Na dann werde ich diesen noch nachtragen. Welches Zertifikat bei Thawte ist den das sog. SAN Zertifikat? Ich kann es nicht finden. Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Bei Thawte gibts nur Wildcard Zertifikate die recht teuer sind und für deinen Zweck wohl auch leicht oversized ;) Microsoft arbeitet offiziell mit folgenden Ausstellern zusammen: Unified Communications Certificate Partners for Exchange 2007 and for Communications Server 2007 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.