Zusätzliches SSL Zertifikat für autodiscover?

[UserNeo 10]

Hi,

 

wir betreiben einen kleinen Exchange 2010, aktuell ist nur das OWA von außen erreichbar und mit einem gültigen SSL Zertifikat ausgestattet.

Nun möchten wir gerne noch Outlook Anywhere + Autodiscover korrekt einrichten, welche ebenfalls nur über eine https Verbindung erreichbar ist.

 

Kann ich im IIS nun einfach für "Autodiscover" ein neues zusätzliches SSL Zertfikat anlegen und verifizieren lassen, damit auch autodiscover.meine.domain.de über https erreichbar ist?

 

Mit freundlichen Grüßen

UserNeo

[RobertWi 81]

Moin,

 

ohne Aufwand geht das nicht, weil Zertifikate an die IP-Adresse gebunden sind.

 

Entweder brauchst Du einen Proxy davor, oder musst Dir gescheite Gedanken um ein komplettes Konzept der verwendeten Namen und Zertifikatstypen machen. Aber das Thema ist zu komplex für ein Forum, weil man einige Hintergrund-Infos zur Netzwerkumgebung braucht.

[UserNeo 10]

Hi,

 

oder man benutzt ein Multidomain Zertifikat, jedoch muss man dann abwarten bis das andere Zertifikat abgelaufen ist :( .

 

Wenn ich mir im Outlook die "E-Mail Autokonfiguration" anschaue, sehe ich das Outlook auch http://autodiscover.... versucht ab zu rufen, jedoch scheitert dies am IIS, da für dieses Verzeichnis SSL "Zwang" aktiviert ist, würde es funktionieren wenn man nur für Autodiscover http:// freigibt?

 

Mit freundlichen Grüßen

UserNeo

[RobertWi 81]

Warum muss man da abwarten? Neue Zertifikate kannst Du jederzeit baue/kaufen/einbinden.

 

Aus dem Kopf weiß ich nicht, ob Autodiscover ohne SSL supported ist, da hierbei auch Anmeldeinformationen übertragen werden.

[UserNeo 10]

Ok, dann werde ich ein neues beantragen :) .

 

Weis jemand wie das bei O365 funktioniert? Dort muss man ja von seiner eigenen Domain ein CNAME Eintrag auf autodiscover.outlook.com durchführen und anschließend funktioniert Autodiscover? 

 

cu

UserNeo

[RobertWi 81]

Moin,

 

bei CNAME bekommt der Client eine Weiterleitungswarnung, die er aber nur einmal bestätigen muss. Die SSL Verbindung wird danach auf den Namen der Weiterleitung durchgeführt.

[heutger 0]

Autodiscover erfordert https, auf Grund der Bindingprobleme empfiehlt sich hier ein spezielles Unified Communications-Zertifikat (UCC) für Exchange oder ein Multidomain-Zertifikat (MDC). Je nach Anbieter oder Zwischenhändler ist häufig auch ein Upgrade auf ein Multidomain oder Unified Communications möglich und man muss kein vollständig neues Zertifikat erwerben. Bei O365 empfiehlt es sich, direkt die Zieladresse zu verwenden, bei Umleitung der Maildomain auf O365 sollte es hier keine Probleme geben, OWA sollte man dann direkt auf O365 zugreifen.

[UserNeo 10]

Hi,

 

ich habe mir mal https://www.testexchangeconnectivity.com/ angeschaut, wonach eigentlich autodiscover sucht, es reicht hier ein normaler SRV DNS Eintrag autodiscover.domain.de auf mail.domain.de und schon klappt es . Also man benötigt nicht zwingend ein neues oder weiteres SSL Zertifikat :) .

 

Dennoch vielen Dank für die Hilfe.

 

cu

UserNeo

[heutger 0]

Vielen Dank für die Recherche und den Link, gut zu wissen! Es gibt zwar auch weiterhin Anwendungsfälle für UCC und MDC, aber so kann man es sich zumindest für autodiscover allein auch auf einen FQDN vereinfachen.

[RobertWi 81]

Aber nur, solange man kein Active Sync mit Autodiscover machen will - die meisten EAS-Clients können keinen SRV-Eintrag bei Autodiscover. Nicht umsonst habe ich oben geschrieben "musst Dir gescheite Gedanken um ein komplettes Konzept der verwendeten Namen und Zertifikatstypen machen. Aber das Thema ist zu komplex für ein Forum, weil man einige Hintergrund-Infos zur Netzwerkumgebung braucht."

 

Ansonsten ist das SRV-Thema "alt" und funktioniert schon seit Exchange 2007/Outlook 2007 so.