Neues Exchange Server Zertifikat / Active Sync

[xxGhostdriverxx 0]

Hallo zusammen, 

 

wir haben aktuell folgende Infrastruktur:

 

- Exchangeserver 2010 -> Self-Sign Zertifikat

- Sophos UTM mit Webserver Protection - Self-Sign Zertifikat.

- Diverse ActiveSync Endgeräte sowohl Apple als auch Android.

 

Die SelfSign Zertifikate sind innerhalb der Domäne per GPO auf die PC´s verteilt worden. Bei den Endgeräten als auch bei OWA wurde bzw. wird der Zertifikatsfehler einfach akzeptiert.

 

- Eine neu aufgesetzte zweistufige CA.

 

Was ich vor habe:

Ich würde nun gerne den ExchangeServer sauber konfigurieren. Also die Connectoren sauber konfigurieren (Externe URL).

 

Outlook Anyware aktivieren mit DNS Einträgen und allem was dazu gehört.

 

Außerdem möchte ich dann ein neues Zertifikat durch unsere neue interne CA für die Dienste ausstellen.

 

Soweit ist mir der Ablauf klar. Allerdings frage ich mich was passiert, wenn ich dem neuen Zertifikat die Dienste zuordne.

Meine Befürchtung ist, dass die ActiveSync Endgeräte sich nicht mehr mit dem Exchange-Server verbinden, da dieser nun mit einem neuen Zertifikat antwortet, welches sie ebenfalls nicht als Vertrauenswürdig einstufen.

 

kann ich das Problem umgehen ?

 

Schönen Dank für Euro Unterstüzung!!

 

 

 

 

 

 

 

bearbeitet 13. Oktober 2016 von xxGhostdriverxx

[NorbertFe 2.034]

Kauf dir doch einfach eins, wenns nur für Exchange benötigt wird, ist das die schnellste und sauberste Variante. Die Handys akzeptieren deine eigene CA dann ja auch nicht. ;)

[Nobbyaushb 1.471]

Wenn ich den Flow richtig verstanden habe, ist eine UTM dazwischen, dem Exchange brauchst du das neue Zert nicht geben, nur die UTM muss ein gültiges Zert zur Kommunikation mit dem Exchange haben, und das darf ein internes sein.

 

;)

[NorbertFe 2.034]

Naja hätte wenn und aber. Zweimal das selbe Zertifikat zu verwenden hat Vorteile. Dann weiß ich, dass meine Konfiguration stimmt. Wenn du intern ein anderes nimmst, hast du Probleme mit WLAN Clients, die eben nicht in der Domäne sind usw. usf. Ja kann man alles regeln, aber einen Vorteil sehe ich dabei kaum.

[xxGhostdriverxx 0]

Hallo Danke für eure Antworten.

 

@Norbert FE

mit einem gekauften Zertifikat wird sicher kein Fehler auftauchen, solange es gültig ist  ? Das heißt das neue wird ohne Meldung übernommen ?

 

@Board Veteran

richtig! Wichtig ist mir, vor allem die Kommunikation nach außen, (OWA, ActiceSync, Outlook Anyware mit autodiscover)

Wichtig ist also welches Zertifikat die UTM über den Reverse Proxy veröffentlicht.

 

Was für ein Zertifikat kauf man am besten ?

 

ich dachte an folgende URL´s

 

owa.Domain.de

oa.Domain.de

autodiscover.Domain.de

 

reichen die Einträge ? Macht es Sinn die .local Einträge mit in das Zertifikat aufzunehmen ?

 

 

Danke und Gruß,

xxGhostdriverxx

[Nobbyaushb 1.471]

Hallo Danke für eure Antworten.

 

@Norbert FE

mit einem gekauften Zertifikat wird sicher kein Fehler auftauchen, solange es gültig ist  ? Das heißt das neue wird ohne Meldung übernommen ?

 

@Board Veteran

richtig! Wichtig ist mir, vor allem die Kommunikation nach außen, (OWA, ActiceSync, Outlook Anyware mit autodiscover)

Wichtig ist also welches Zertifikat die UTM über den Reverse Proxy veröffentlicht.

 

Was für ein Zertifikat kauf man am besten ?

 

ich dachte an folgende URL´s

 

owa.Domain.de

oa.Domain.de

autodiscover.Domain.de

 

reichen die Einträge ? Macht es Sinn die .local Einträge mit in das Zertifikat aufzunehmen ?

 

 

Danke und Gruß,

xxGhostdriverxx

Moin, bei gekauften Zertifikaten kannst du keine .local mit aufnehmen, das geht nur bei Zertifikaten aus der eigenen Root-CA.

 

Wofür steht das oa.?

 

;)

PS: ich heiße auch Norbert...

[xxGhostdriverxx 0]

Hi,

bei OA.Domain.local dachte ich an Outlook Anyware oder macht es keinen Sinn dies von OWA zu trennen ?

 

Wenn nicht reicht ja ein Zertifikat mit zwei Einträgen oder ?

 

Danke und Gruß

[Nobbyaushb 1.471]

Es macht keinen Sinn das zu trennen und wäre ja ein weiterer Name im SAN-Cert - überflüssig und kostet nur Geld.

 

;)

[NorbertFe 2.034]

Naja wenn er bestimmte Funktionen der Sophos UTM nutzen will, braucht er dazu nen eigenen Listener und das geht dann nur mit eigenem Namen. ;) Also "Consultingantwort": Es kommt darauf an!

3 Namen sind üblicherweise in den SAN Zertifikatspreisen mit drin. Wenn du mehr brauchst kommts auf den Aussteller an.

 

Bye

Norbert

[xxGhostdriverxx 0]

Super,

 

wenn ich das alles zusammenfasse müsste ich folgendermaßen vorgehen.

1.  Im Clientzugriff bei allen Diensten (OWA, Actice Sync und Outlook Anyware) die externe URL owa.Domain.de eintragen.
2.  Neue Zertifikatsanfrage (OWA im Internet owa.Domain.de eintragen, Exchange Active Sync owa.Domain.de eintragen und Webdienste haken bei Auto Ermittlung im Internet -> Lange URL --> autodiscover.Domain.de eintragen.
3. Zertifikat mit zwei Einträgen kaufen:

• OWA.Domain.de
• Autodisover.Domain.de --> Weil Outlook diese URL automatisch abfragt oder ?

4. Autodiscover.Domain.de DNS Eintrag beim Provider setzten lassen.

5. Zertifikatsanfrage abschließen und dem Zertifikat die IIS Dienste zuordnen.

6. Das gleiche Zertifikat auf der UTM importieren.

 

Die Apple und Andriod Endgeräte bekommen so nichts von dem Vorgang mit, da das neue Zertifikat Gültig ist oder ?

 

Muss ich für die interne .local Domain ein zweites Zertifikat über meine interne CA ausstellen und dem ebenfalls den IIS Dienst zuordnen ?

 

Danke und Gruß,

[Nobbyaushb 1.471]

Alles soweit richtig.

 

Du kannst entweder dein eigenes Zertifikat für die interne Kommunikation verwenden oder vewendest das externe Zertifikat auch auf dem Exchange, die UTM müsste diesem eigentlich vertrauen, da es von einer externen, vertrauenswürdigen Quelle kommt.

 

Aber da kenne ich mich nicht so gut aus, die Sophos UTM verwende ich meist nicht (oder habe jemanden zur Hand...)

 

NorbertFe noch Einwände?

 

;)

 

Achja, Nachtrag - nicht dem IIS zuweisen, sondern über den Exchange - außerdem kann der IIS technisch nur ein Zertifikat.

bearbeitet 13. Oktober 2016 von Nobbyaushb

[NorbertFe 2.034]

Die UTM vertraut dem Zertifikat, weil man dort notfalls das Root/Intermediate installieren muß, sonst kann man es nicht für die Veröffentlichung nutzen. ;) Ansonsten ja kann man so machen.

[xxGhostdriverxx 0]

Super ich Danke Euch Vielmals

 

Dann habe ich jetzt einen Fahrplan.

 

Über den Exchange kann ich dann aber den beiden Zertifikaten (öffentlich und internes ) den IIS Dienst zuordnen ?

Oder muss ich für die Interne Kommunikation auch das Externe Zertifikat verwenden und am internen DNS-Server die Einträge auf den Exchange zeigen lassem ?

 

Danke!

[NorbertFe 2.034]

Nein, auf dem Exchange kannst du nur EIN Zertifikat zuordnen. Im Idealfall natürlich das öffentliche. Du brauchst kein internes Zertifikat. Hört mir überhaupt jemand zu? ;)

[xxGhostdriverxx 0]

Ok Ich binde das öffentliche Zertifikat ein. In diesem kann ich keine.local Domain hinterlegen -- Soweit klar.

 

Wenn jetzt ein Interer Client auf den Server zugreift, versucht das Outlook doch aber über Server.interneDoamin.local auf den Exchange-Server zuzugreifen oder nicht?

Dieser Name stimmt aber nicht mit dem im öffentlichen Zertifikat überein. Das müsste doch auf einen Fehler laufen, oder übersehe ich was :confused:

 

Danke!