Jump to content

Exchange 2010 - Zertifikate für OWA

Data1701

Von Data1701
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Data1701 Veteran

Data1701   10

Geschrieben
Geschrieben

Mahlzeit,

 

ich habe ein kleines Problem. So wie ich es sehe, kann ich unter Exchange 2010 nur für OWA und ECP ein anders Zertifikat benutzen wie für die restlichen Dienste..... Ich kann nur das Zertifikat am IIS binden.

 

Das bedeutet, dass ich Zertifikate mit SANs brauche. Unsere interne Domäne muss dann allerdings auch in SANs genannt werden, das die FQDNs der Server ja benötigt werden.

 

Liege ich da mit meiner Auffassung richtig......

 

Gruß Data.....

Link zu diesem Kommentar
BrainStorm Veteran

BrainStorm   10

Geschrieben
Geschrieben
Du kannst im Exchange 2010 auch alternativ Wildcard Zertifikate ( *.domäne.de) nehmen, nachteil ist das diese nicht für POP3 und IMAP funktionieren.

 

Ist zwar ein supportetes Szenario, aber ich rate von Wildcardzertifikaten ab. Selbst Exchange 2010 nutzt teilweise noch "Relikte" aus WINS Zeiten - speziell beim Betrieb einer DAG und in ein Wildcardzertifikat bekommst du natülich keine NetBIOS-Namen rein.

 

Wird zwar prinzipiell funktionieren, aber es kann sein, dass es damit etwas unrund läuft.

Link zu diesem Kommentar
Data1701 Veteran

Data1701   10

Geschrieben
  • Autor
Geschrieben

Danke erst einmal für die ganzen Beiträge.

 

Es geht aber viel einfacher...... Leider scheigen sich viele HowTo etwas hierzu aus. Des weiteren sagt so ziemlich kein HowTo etwas dazu, wenn das TMG als Workgroup-Member in der DMZ läuft, da wird es nämlich etwas schwerer. Ich glaub ich werde hier mal in den nächsten Wochen ein How-To einstellen.

 

Also man benötigt NUR ein popliges offizielle SSL-Zertifikat, welches den externen Namen "absichert", evtl. noch als SAN autodiscover.domäne wenn man später noch Outlook Anywhere machen will. Intern kann ich eine eigenes Zert von einer eigenen CA mit x-tausend SANs, Wildcards etc. auf dem CAS nutzen.

 

Auf dem TMG wird das offizielle Zert importiert. Darauf achten, dass evtl. Zwischenzertifizierungsstellen der CA auch auf dem TMG installiert sind und zwar an der richtigen Stelle (Computerstore), da das TMG diese Intermediate CAs mitpubliziert. Wenn Ihr Certs von einem Store zum anderen schiebt muss dass TMG neu gestartet werden, da sont die Publikation nicht funktioniert und Euer Client eine Zertfikatsproblem anzeigt.

 

Zusätzlich wird auf dem TMG das Zert Eurer privaten Root-CA benötigt.

 

SSL-Listener einrichten und im Feld "interne Site" einfach die IP-Adresse der CAS-Server angeben. OWA Authentfizierung intern umstellen, nicht mehr Formularbasierend.

 

LDAP-Authentifizierung ist ein Thema für sich, das kommt aber alles noch.

 

Was passiert nun. Client fragt via https OWA an. Landet auf der TMG Formular-Anmeldung für OWA (Sieht aus wie OWA, steht aber klein drunter "Geschützt durch TMG"; ist also in Wirklichkeit das TMG).

 

TMG bricht den HTTPS Tunnel auf und arbeitet nun Richtung CAS mit dem internen Cert, dem vertraut das TMG, da die interne Root-CA zu den Vertrauenswürdigen Zert-Stellen hinzugefügt wurde.

 

Das ist die günsigste Lösung.

 

Gruß Data

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...