Blase 15 Geschrieben 27. Juli 2015 Melden Teilen Geschrieben 27. Juli 2015 Hallo Forum, unser Exchange 2010 Zertifikat ist abgelaufen und muss erneuert werden. Das bekomme ich grundsätzlich hin, aber ich würde in diesem Zusammenhang gerne mein gefährliches Halbwissen gerne etwas vertiefen. Grundsätzlich ist mir das Prozedere ja soweit klar, nehme ich zumindest an ;) Der Exchange stellt - ungeachtet des alten Zertifikats - einen neuen Antrag, dieser wird bei der Zertifizierungsstelle eingereicht (liegt auch auf dem Exchange) und das fertige Zertifikat dann wiederum in Exchange eingelesen. Mal ein paar Fragen in diesem Zusammenhang: 1. wir haben bisher ausschließlich mit eigenen selbst erstellten Zertifikaten gearbeitet. Wo liegt denn der Vorteil, von "öffentlichen", also kostenpflichtigen Zertifikaten? 2. Ich habe mal "gelernt" (man könnte es auch "aufgeschnappt" nennen), dass der Zertifikatsname immer der FQDN des (Exchange) Servers sein soll. Richtig? 3. Bei den Zertifikatdomänen habe ich an Namen immer "alles" rein getan, was irgendwie "Sinn" machen könnte, auch mal so aufgeschnappt. Da wären z.B. Servername FQDN des Servers Domäne Domäne.local Domäne.com outlook.domäne.com (owa Zugriff über diese Adresse)autodiscover.domäne.localautodiscover.domäne.com Fühlt sich nach "viel hilft viel" an. Aber so wirklich verstanden, WAS man dort WARUM einträgt, habe ich nicht, bzw. weiß ich nicht. Bitte um Erklärung. 4. Bei den Zertifikatdomänen muss man ja einen Standard wählen - welcher wäre das? Der FQDN des Servers? 5. Verteilung des Zertifikats an die Clients/Endgeräte: Muss hier überhaupt "verteilt" werden? Oder ziehen sich die Outlook Clients und die Smartphones das automatisch? Das wäre es wohl erst einmal... MfG Björn Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 27. Juli 2015 Melden Teilen Geschrieben 27. Juli 2015 1. Keine Browserwarnung beim Aufruf von OWA von extern, bzw. Zertifikatswarnung im Handy etc. Man muss das Zertifikat nicht irgendwo installieren, das Gerät vertraut ihm schon. 2. Hängt halt davon ab wie euer Namensraum ausschaut. Aber ja, FQDN des Exchange Servers ist nicht verkehrt. 3. Domain.local kriegst du von externen Zertifikatsanbietern nicht. Autdiscover.domain.com macht man, weil z.B. Outlook das in ihrerer automatischen Suche recht früh automatisch abfragen. Automatisches einrichten geht so einfacher/schneller. fqdn des exchange servers ist klar. Falls notwendig, alte servernamen, extra adresse für owa wie man es halt braucht. Gibt hier Empfehlungen von Microsoft dazu. 4. kA was du meinst. 5.Nimm ein gültiges Zertifikat einer externen, verbreiteten Zertifikatsstelle wie z.B. Godaddy und die Geräte vertrauen dem direkt, da sie der Zertifikatsstelle vertrauen. Zitieren Link zu diesem Kommentar
NorbertFe 2.039 Geschrieben 27. Juli 2015 Melden Teilen Geschrieben 27. Juli 2015 (bearbeitet) 3. Bei den Zertifikatdomänen habe ich an Namen immer "alles" rein getan, was irgendwie "Sinn" machen könnte, auch mal so aufgeschnappt. Da wären z.B. Hmm, kannst du kürzen auf autodiscover.deinedomain.tld und hostdeinexchangeextern.deinedomain.tld Mehr nur, wenn du weißt was du tust. ;) Achja benutze nicht diesen dämlichen Zertifikatswizard von Exchange 2010. Nimm die Powershell oder bau dir hier deinen CSR zusammen: https://www.digicert.com/easy-csr/exchange2010.htm Bye Norbert PS: Ein Zertifikat für 3 Jahre kosten 99€ (als SAN mit bis zu drei SANs) Da würde ich mir den Stress einer auf dem Exchange installierten PKI _nicht_ antun. bearbeitet 27. Juli 2015 von NorbertFe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.