Exchange 2010 - TLS

[Moped 11]

Hallo Zusammen,

wir bekommen jetzt einen Kunden der mit uns aber nur per TLS kommunizieren will.
Jetzt bin ich da etwas unsicher
Folgende Bedingungen
2x MBX, 2x Hub/CAS 2x Cisco loadbalancer, Versand/Empfang über Smarthost unserer Mutter.

Habe mir jetzt mal DIESE (http://exchange.sembee.info/2010/hub/mutualtls.asp) Anleitung durchgelesen (soweit, soklar)

Meine Gedanke dazu:

-Ich organisiere mir ein offizielles Zertifikat (was wäre der Nachteil wenn ich ein Selbst-Signiertes nehme?)
- Ich erstelle einen neuen Sendeconnector
- Auf diesem Connector fürhre ich den Befehl "Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true" aus
- Denn noch die anderen Befehle gem der o.g. Anleitung

Was mir jetzt nicht ganz klar ist:
Wie verhält sich das mit dem Versandt über den Smarthost?
Ich kann ja jetzt aufgrund des vorgeschalteten LB keinen weiteren Receiveconnector speziell für die Domäne erstellen, muss ja aber sicherstellen, dass andere nicht TLS versendete Mails ankommen, wird dies über den befehl "Set-TransportConfig -TLSReceiveDomainSecureList example.com" sichergestellt?

Hoffe es ist verständlich rüber gekommen :-)

[NorbertFe 2.041]

Wenn ihr sowieso alles an den Smarthost der Mutter schickt, dann stell doch einfach alles auf requireTLS auf true. Muß ja sowieso der Smarthost an deinen Kunden weitergeben. Ob du dann intern von deinem Exchange zum Smarthost mit externem Zertifikat arbeiten willst ist dir überlassen, denn verifizieren kann der Empfänger sowieso nur das des Smarthosts. Der Nachteil bei selbstsignierten Zertifikaten ist, dass es per Default erstmal nicht vertrauenswürdig ist und MitM Attacken einfacher sind. Was ist denn der Smarthost der Mutter, da muß dann ggf. die Konfiguration für diesen Kunden angepaßt werden.

 

Bye

Norbert

[Moped 11]

Hi Norbert, das klingt logisch :jau:

 

Das kläre ich mit den Betreibern des Smarthostes mal ab

 

jetzt muss ich aber nochmal "dumm" fragen

 

Muss ich dann diese Befehle "Set-TransportConfig -TLSReceiveDomainSecureList example.com" + "Set-TransportConfig -TLSSendDomainSecureList example.com" auch ausführen, weil ich ja keine explizite Domäne angebe sondern alles per TLS rausschicke? :confused:
 

Oder habe ich einen Gedankenfehler? :rolleyes:

[NorbertFe 2.041]

Du schickst doch sicher ALLES an den Smarthost, oder? Also warum willst du irgendwelche Ausnahmen am Exchange "basteln"?

[Moped 11]

Ja klar, ih schicke alles an den Smarthost

War mir halt nicht sicher :nene:

 

Habe noch eine Frage zum Zertifikat

- Da ich ja nur an den Smarhost der Mutter sende, und das nicht irgendwei übers Internet sondern "Intern", kann es da auch zu Problemen kommen wenn ich ein Internes Zertifikat verwende?

 

- ich habe den Mailservern (Diensten) ja schon ein SAN Zertifikat zugewiesen (das übrigens auch Selbst Signiert), kann ich denn jetzt das neue Zertifikat für TLS parallel zuweisen oder müsste ich das SAN Zertifikat "Erweitern"? :confused:

[NorbertFe 2.041]

Meine Antwort ist keine andere als die ganz oben. Da steht eigentlich alles drin.

[Moped 11]

Hallo,

 

habe jetzt versucht mich in das Thema TLS-Zertifikate einzulesen, richtig verständlich ist es mir nicht geworden, bzw. bin etwas unsicher.

 

Mir ist nicht 100% klar welche Angaben in das Zertifikat reinmüssen.

 

Anderes Seits habe ich ja schon ein Zertifikat (allerdings selbst Signiert) mit folgenden Angaben:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessCon
                     trol.CryptoKeyAccessRule}
CertificateDomains : {Domain.Firma.de, Mailserver, Mailserver.Domain.Firma.de, mail.Firma.net, mail.Domain.Firma.net, mail.Firma.de, mail.Domain.Firma.
                     de, Firma.net, Domain.Firma.net, autodiscover.Domain.Firma.de}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=Firma Zertifizierungsstelle, DC=Domain, DC=Firma, DC=de
NotAfter           : 21.08.2016 11:12:26
NotBefore          : 22.08.2014 11:12:26
PublicKeySize      : 2048
RootCAType         : Enterprise
SerialNumber       : 4A6D526554551544404B
Services           : IMAP, POP, IIS, SMTP
Status             : Valid
Subject            : CN=Domain.Firma.de, OU=Abt, O=Firma GmbH, L=Ort, C=DE
Thumbprint         : 99C3BF37B6819CACB9F73554455514551145558877271FA9030EEB93F6

Müssen die gleichen Angaben auch in das "öffentliche Zertifikat" rein?

 

Danke vorab

[NorbertFe 2.041]

Du hast immer noch nicht geklärt, wer mit wem per tls kommunizieren soll/muss. Wenn der smarthost mit dem kundenserver kommuniziert ist es nicht dein Problem, sondern das des smarthost-Betreibers.

[Moped 11]

ah, ok, verstehe
ich muss immer Doppelt denken :D

Wir haben zwei domänen

Eine Domäne kommuniziert mit dem Smarthost > das ist geklärt, das wird von denen eingerichtet :thumb1:

 

Eine weiter Domäne sendet direkt ins Internet, da muss ich tätig werden

Es geht also jetzt um diese Domäne

Sorry für die Verwirrung

[Moped 11]

Ich muss nochmal nachfragen weil es sich mir wirklich nicht ganz erschliesst

 

Ich habe ja ein Zertifikat welchen aber Selfsigned ist, und welches auch schon an SMTP gebunden ist

Wenn ich mir jetzt ein Öffentliches Cert kaufe, kann ich das dann zusätzlich an SMTP binden?

 

Soll/Muss man bei dem TLS-Cert auch alle (wie ich es bei dem derzeitigen Cert habe) "CertificateDomains Namen" incl. FQDN eintragen?

 

Danke vorab

[NorbertFe 2.041]

Ich versteh dein Problem immer noch nicht. ;) Ja ein TLS Zertifikat _sollte_ öffentlich sein, und nein an den SMTP Service kannst du nur eins binden. Du brauchst nur den Namen im Zert, mit dem dein SMTP Service angesprochen wird. Üblicherweise kann man natürlich alles mit einem Zertifikat lösen.

[Moped 11]

Ok ich versuche es nochmal zu erklären

 

Ich habe eine Domäne von der aus wir die Mails an einen Smarthost senden > das Thema ist durch und geklärt :thumb1:

 

Von der zweiten Domäne senden wir direkt ins Internet

Auf diesem Mailserver habe ich ein ein Selbst Signiertes Zertifikat (siehe Oben)
So, jetzt sollte ich ja zwecks TLS Verschlüsselung ein öffentliches Zertifikat verwenden

Also muss ich ja eins Beantragen

Jetzt ging es mir darum, welche "CertificateDomains" ich dort eintargen muss und ob ich ein weiteres Zertifikat an den SMTP Dienst binden kann

 

So wie ich dich jetzt verstanden habe....

 

Kaufe ich mir ein Zertifikat mit den Gleichen Angaben wie in dem was ich schon haben (siehe oben)

Dann binde ich das neue Zertifikat an die gleichen dienste wie oben (IMAP, POP, IIS, SMTP)

 

oder?

War das so verständlich? :confused:
 

[Moped 11]

push....

Hat evtl. jemand eine Idee/Erklärung wie ich das neue Zertifikat anlegen muss und was mit dem alten passieren muss?

Bin im Web nicht wirklich fündig geworden :nene:

 

Danke

[NorbertFe 2.041]

Was passiert denn, wenn du ein Zertifikat ersetzt? Soweit ich weiß, kann am SMTP Service nur ein Zertifikat gebunden sein, also wird das andere/bestehende durch das neue ersetzt (kommt sogar als Nachfrage). Du kannst natürlich für unterschiedliche Services unterschiedliche Zertifikate verwenden. ist nur meist nicht sinnvoll.

 

Bye

Norbert

[Moped 11]

Das bedeutet jetzt, ich kaufe mir ein SAN Zertifikat mit all den CertificateDomains die ich jetzt auch im Zertifikat eingetragen habe und binde dieses dann auch neu an alle meine Dienste, richtig?