Wolke2k4 11 Geschrieben 2. Februar 2021 Melden Teilen Geschrieben 2. Februar 2021 Hallo zusammen, ich wollte für einen Exchange Server über den Zert Assi des EAC einen CSR mit 2 Wildcard Einträgen erstellen lassen. Das geht so aber nicht, denn scheinbar akzeptiert der Assi nur eine Domain. Gibt es dafür einen Workaround oder muss ich mir das via Powershell zurechtbasteln? Ziel ist *.domain1.de und *.domain2.de im CN des Zerts zu hinterlegen... Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 2. Februar 2021 Melden Teilen Geschrieben 2. Februar 2021 Nimm doch alle FQDN mit auf. autodiscover.domain1.de autodiscover.domain2.de mail.domain1.de mail.domain2.de Zitieren Link zu diesem Kommentar
MurdocX 951 Geschrieben 2. Februar 2021 Melden Teilen Geschrieben 2. Februar 2021 Google mal nach SAN Zertifikaten. 1 Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 3. Februar 2021 Autor Melden Teilen Geschrieben 3. Februar 2021 vor 10 Stunden schrieb MurdocX: Google mal nach SAN Zertifikaten. ? Ein solches Zert soll es doch auch werden aber im CN müssen in diesem Fall 2 Wildcardeinträge stehen... mein Problem ist nicht der Zertifikatstyp sondern der Exchange Assistent für die Erstellung des Zerts, der beim Versuch 2 Wildcardeinträge anzugeben mit einer Fehlermeldung abbricht... Suche danach hat bisher nichts gebracht. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 Moin, ich bin bei Jan - Wildcard können arge Probleme machen, ich würde auch lieber SAN-Cert verwenden... Ich kann mal jemanden fragen ob das überhaupt geht, mehr als eine Domain in einem Wildcard zu haben... Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 Moin, "gehen" müsste es ja von allen Seiten. Der Server müsste damit umgehen können und der Client. Da sowohl Server als auch Client in diesem Szenario sehr unterschiedlich sein können, würde ich den Abbruch des Exchange-Assistenten schon als sehr starkes Indiz werten, dass das aussichtslos ist. Abgesehen davon, sind Wildcard-Zertifikate Murks in Bezug auf Sicherheit. Und das widerspricht dann irgendwie dem Sinn des Ganzen. Gruß, Nils Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 Moin, laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich. Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat. Gruß J Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 3. Februar 2021 Autor Melden Teilen Geschrieben 3. Februar 2021 vor 9 Minuten schrieb MrCocktail: Moin, laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich. Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat. Gruß J Hast Du mal einen Link zum RFC? Danke für den Input soweit vom Rest. Dann werden wir da wohl doch anders vorgehen. Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 @Wolke2k4 Nope... Auf die Suche bin ich einmal gegangen und der Link ist leider bei irgendeinem Rechnerwechsel verlorengegangen. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 Das müssten die RFC 2828 und 3280 sein. Wenn ich das beim Überfliegen richtig verstanden habe gibt es zwei Meinungen. Einmal darf nur ein WIldcard Cert im CN stehen, logisch. Weiterhin können weitere Wildcards im SAN stehen. Ich habe bewusst noch kein solches Zertifikat gesehen. Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 Moin, rein von der X.509-Spezifikation her spricht IMHO nichts dagegen. Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs Auch ich habe noch nie ein solches Zertifikat außerhalb eines PKI-Labors gesehen, daher würde ich Dir raten, die Anforderung mit anderen Mitteln zu lösen. Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch. Vielleicht schaust Du dir mal an, wie die das machen, dann wird Dir einiges klarer. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 vor 25 Minuten schrieb cj_berlin: Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs Richtig, da habe ich schon einiges erlebt. vor 25 Minuten schrieb cj_berlin: Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch. Die Variante habe ich bei Kunden im Einsatz. Bei nur zwei Domains, würde ich einfach die vier Namen ins Zertifikat schreiben und fertig. Die MS Lösung ist von von Vorteil, wenn immer weitere Domains hinzukommen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 3. Februar 2021 Melden Teilen Geschrieben 3. Februar 2021 vor 3 Stunden schrieb cj_berlin: dann wird Dir einiges klarer. und einfacher ist die Lösung auch. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.