ditro 10 Geschrieben 7. Oktober 2010 Melden Geschrieben 7. Oktober 2010 Hallo zusammen, ich frage mich gerade, ob ich bei einem OWA nach außen hin 2 SSL Zertifikate kaufen muss, oder ob 1 Zertifikat für beide Exchange Server reicht. hab hab den owa auf einen virtuellen namen gelegt. mail.xyz.de die beiden server heißen exchange1.xyz.de exchange2.xyz.de Gruß Dennis Zitieren
Dukel 461 Geschrieben 7. Oktober 2010 Melden Geschrieben 7. Oktober 2010 Greifst du mit 2 verschiedenen Addressen auf die beiden Server von außen zu? Zitieren
ditro 10 Geschrieben 7. Oktober 2010 Autor Melden Geschrieben 7. Oktober 2010 Nein, von außen ist die IP gleich...die stehen noch hinter einer Firewall die nat macht.... aber es brauchen doch beide Server den private Key...bzw den gleichen csr Request, oder? Zitieren
fluehmann 10 Geschrieben 7. Oktober 2010 Melden Geschrieben 7. Oktober 2010 Hallo ditro Sind den die Exchange Rollen HUB und CAS auf beiden Exchange Servern installiert? Betreibst du dafür ein LB? Wie willst den du z.B. den Port 443 auf zwei unterschiedliche IP Adressen (beide Exchange Server) naten?? Bei nur einem Zertifikat machst du ein Request auf einem Server und installierst dann das Zertifikat mit dem exportierten PrivateKey auf dem anderen. Grüsse fluehmann Zitieren
RobertWi 81 Geschrieben 7. Oktober 2010 Melden Geschrieben 7. Oktober 2010 Moin, wie das mit NAT läuft, würde mich auch interessieren. Aber ja: Es braucht nur ein Zertifikat, dass auf beiden Servern installiert wird (bitte über die "Zertifikate"-MMC auf dem einen Server *mit* Private Key exportieren und am besten über die EMC auf dem anderen Server importieren. Zitieren
Dukel 461 Geschrieben 7. Oktober 2010 Melden Geschrieben 7. Oktober 2010 Du kannst das ganze auch mit einem Reverse Proxy (Isa, Squid, Apache,...) machen und dann bekommt dieser das Cert und leitet die Anfragen ins LAN weiter. Zitieren
ara 10 Geschrieben 8. Oktober 2010 Melden Geschrieben 8. Oktober 2010 wir haben es (wie auf msxfaq beschrieben) über ein CAS-Array gelöst. Im Zertifikat braucht dann eigentlich nur der Name des CAS und evtl noch autodiscover.domain sein. Zitieren
fluehmann 10 Geschrieben 8. Oktober 2010 Melden Geschrieben 8. Oktober 2010 Das ist richtig mit den Zertifikatsnamen. Jedoch musst du auch beachten wie das CAS-Array angesprochen wird. Im Normalfall wird das mit einem Loadbalancing gelöst. Für das Loadbalancing brauchst du eine separate IP welche dann auf mail.xyz.de registriert ist. Grüsse fluehmann Zitieren
ara 10 Geschrieben 8. Oktober 2010 Melden Geschrieben 8. Oktober 2010 IP für das CAS Array kommt (auch wie auf msxfaq beschrieben) von einer "allgemeinen Anwendung" die mit IP dem DAG Failovercluster hinzugefügt wird. Zitieren
fluehmann 10 Geschrieben 8. Oktober 2010 Melden Geschrieben 8. Oktober 2010 Da steht folgendes: MSXFAQ.DE - 2-Server-DAG ZertifikateWer mehr als nur die physikalischen Namen der Server in der Konfiguration verwendet und mit virtuellen geclusterten IPs und CAS-Arrays agiert, muss auf den Exchange Servern natürlich auf "passende" Zertifikate einrichten, die den Namen enthalten, der von den Clients verwendet wird. Grüsse fluehmann Zitieren
ditro 10 Geschrieben 19. Oktober 2010 Autor Melden Geschrieben 19. Oktober 2010 Da steht folgendes: MSXFAQ.DE - 2-Server-DAG Grüsse fluehmann Kannst du das kurz näher erklären? brauch ich dann für exchange1 und exchange2 ein eigenes Zertifikat? exchange1.intern.local autodiscover.intern.local autodiscover.xyz.de CAS.intern.local CAS.xyz.de und das zweite Zertifikat: exchange2.intern.local autodiscover.intern.local autodiscover.xyz.de CAS.intern.local CAS.xyz.de Zitieren
RobertWi 81 Geschrieben 19. Oktober 2010 Melden Geschrieben 19. Oktober 2010 Moin, nein, es reicht weiterhin ein Zertifikat, das alle Namen, die Du oben aufgezählt hast, beinhaltet. Frank meinte in seinem FAQ-Eintrag, dass man eben nicht vergessen darf, neben den Name der Server auch den Namen des logischen CAS-Arrays mit einzubauen. Zitieren
fluehmann 10 Geschrieben 19. Oktober 2010 Melden Geschrieben 19. Oktober 2010 Weiterhin kommt es natürlich auch noch darauf an, wie die internalURLs und externalURLs der virtuellen Webverzeichnisse konfiguriert sind. Das wäre dann so, 1 Zertifikat für beide Server: mail.xyz.de (könnte z.B. auch CAS Array Namen sein) autodiscover.intern.local autodiscover.xyz.de exchange1.intern.local exchange2.intern.local mail.xyz.de könnte z.B. auch im internen Netz gebraucht werden. Ansonsten könnte man da mail.intern.local einrichten und dem Zertifikat auch noch hinzufüghen. Wichtig dabei ist, dass halt bei den internalURLs und externalURLs keine Servernamen benutzt werden. Grüsse fluehmann Zitieren
ditro 10 Geschrieben 20. Oktober 2010 Autor Melden Geschrieben 20. Oktober 2010 Das wäre dann so, 1 Zertifikat für beide Server: mail.xyz.de (könnte z.B. auch CAS Array Namen sein) autodiscover.intern.local autodiscover.xyz.de exchange1.intern.local exchange2.intern.local mail.xyz.de könnte z.B. auch im internen Netz gebraucht werden. Ansonsten könnte man da mail.intern.local einrichten und dem Zertifikat auch noch hinzufüghen. Wichtig dabei ist, dass halt bei den internalURLs und externalURLs keine Servernamen benutzt werden. Grüsse fluehmann wie meinst du das mit den servernamen? du meinst man darf nicht die netbios Namen nehmen sondern die fqdn Namen? exchange1.intern.Local? Zitieren
fluehmann 10 Geschrieben 20. Oktober 2010 Melden Geschrieben 20. Oktober 2010 du meinst man darf nicht die netbios Namen nehmen sondern die fqdn Namen Muss nicht sein, doch bei unserem Zertifikatsprovider werden Zertifikate mit netbios Namen revoked oder schon gar nicht erstellt. Gemeint habe ich aber was anderes, hier ein Beispiel: Exchange - Exchange 2007 Single Name SSL Certificate | Amset.info Je nachdem wie die internalURLs und externalURLs der virtuellen Exchange Verzeichnisse konfiguriert sind, wäre es auch möglich Exchange ohne Servernamen im Zertifikat zu betreiben.... Grüsse fluehmann Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.