Dutch_OnE 39 Geschrieben 22. Juni 2022 Melden Teilen Geschrieben 22. Juni 2022 moin, ich habe eine Domain1 und eine Domain2. Für beide ist Split DNS eingerichtet. Im IIS sind 2 Zertifikate gebunden, für die Domain 2 ist dort SNI aktiviert. Das funktioniert soweit. Nun möchte ich ein neues Mailprofil erstellen und wenn ich Domain1 oder Domain2 nehme, nimmt er immer das jeweils falsche Zertifikat. Beide Zertifikate sind im Exchange an IIS und SMTP gebunden. Kann man das irgendwie steuern? Gruß DO Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 22. Juni 2022 Melden Teilen Geschrieben 22. Juni 2022 Wie bindet man denn zwei Zertifikate im exchange an den iis? Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 22. Juni 2022 Autor Melden Teilen Geschrieben 22. Juni 2022 Ich hatte das zweite mit einem SNI eingebunden. Die konnten auch beide extern aufgerufen werden, nur macht Outlook halt Probleme mit dem Autodiscover. Lösung 1: Zertifikat wo beide Domänen enthalten sind (teuerer) Lösung 2: SRV Eintrag im öffentlichen DNS setzen. Allerdings sollten auch mobile Geräte darauf zugreifen können und ich weiß nicht ob SRV dann geht. Gibt es noch eine Lösung3? Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 22. Juni 2022 Melden Teilen Geschrieben 22. Juni 2022 Du könntest HTTP-Redirect verwenden. Auf einem Server (muss nicht der Exchange sein) eine IP nur per HTTP erreichbar machen, nicht per HTTPS (HTTPS besser rejecten als droppen, sonst läuft Outlook in ein Timeout). Die HTTP-Site macht nichts anderes als einen Redirect auf https://autodiscover.domain.com/autodiscover. Dann passen Hostname und Zertifikat zusammen und Outlook fragt lediglich einmalig, ob man mit der Weiterleitung einverstanden ist. Anleitung: https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/ Wir haben das früher, als Hosted Exchange noch gefragt war, so gemacht. Heutzutage würde ich es zuerst mit der SRV-Methode versuchen in der Hoffnung, dass diese mittlerweile breit unterstützt wird. Dies wäre eleganter. Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 22. Juni 2022 Autor Melden Teilen Geschrieben 22. Juni 2022 Und ist ein Multi Domain Zertifikat nicht mehr state of the art? Davon abgesehen, dass ich die CSR in der EAC auch garnicht erstellen kann. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 vor 7 Stunden schrieb Dutch_OnE: Und ist ein Multi Domain Zertifikat nicht mehr state of the art? Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains. Wenn Outlook der Client der Wahl ist, solltest Du mit SRV Records hinkommen, ansonsten halt, wie oben bereits gesagt, Redirects. Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 23. Juni 2022 Autor Melden Teilen Geschrieben 23. Juni 2022 (bearbeitet) Ok, bei FrankysWeb findet man ein Tutorial dazu. bearbeitet 23. Juni 2022 von Dutch_OnE Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 vor 9 Stunden schrieb Dutch_OnE: Davon abgesehen, dass ich die CSR in der EAC auch garnicht erstellen kann. Und? Dafür gibts ja powershell. Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 vor 2 Stunden schrieb cj_berlin: Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains. Naja, aber auch da ist außer "teuer" es möglich, verdammt viele Autodiscover Einträge in ein MultiDomain Zertifikat zu bekommen. Meine Zertifikatskollegen freuen sich immer, denn wenn wir es als erste mit ins MultiDomain aufnehmen, ist auch gleich sichergestellt, dass es postmaster, hostmaster und webmaster für die Maildomain gibt und die bei uns ins Ticketsystem laufen und Anfragen ordentlich bearbeitet werden können. Und wenn man ehrlich ist, so teuer ist es auch nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 vor 22 Minuten schrieb MrCocktail: Naja, aber auch da ist außer "teuer" es möglich, verdammt viele Autodiscover Einträge in ein MultiDomain Zertifikat zu bekommen. Ja bestimmt. Millionen. ;) und vor allem jederzeit weltweit sobald ein neuer Kunde kommt. :p und vor allem gibts bei san Einträgen afair auch ein Limit. Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 Hi, bei PSW Group gibt es das "Sectigo Lite Multidomain" (SSL-Zertifikat - Sectigo Lite Multidomain - PSW GROUP (psw-group.de)). Da sind bereits 3 FQDNs enthalten für 89 €. Weitere Domains gibt es dann ab 29 €. Ansonsten eben Let's Encrypt / Zero SSL / ... . Bevor ich bei 2 Domains mit SRV Records oder http Redirect (oder auch Let's Encrypt) loslege, würde ich jährlich die 89 € (ggfs. 118 €) investieren. Gruß Jan Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 (bearbeitet) vor 22 Minuten schrieb NorbertFe: Ja bestimmt. Millionen. ;) und vor allem jederzeit weltweit sobald ein neuer Kunde kommt. :p und vor allem gibts bei san Einträgen afair auch ein Limit. Ne für die Cloud macht es keinen Sinn und bei uns funktionieren auch SRV Einträge... ich wollte nur klarstellen, dass es im Zweifel nur ein "Geld" Problem ist und für vieles ist es einfacher, die Kosten in Kauf zu nehmen... Wir haben bei dem Kunden eine Applikation die macht halt sehr zuverlässig Autodiscover und funktioniert dann, allerdings will Sie dafür den Namen autodiscover.example.com finden. Jetzt ist es deutlich einfacher, das Zertifikat passend zu haben, als die Applikation anzupassen. bearbeitet 23. Juni 2022 von MrCocktail Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 OK, dann sind vermutlich fast alle hier im Thread der selben Meinung. Es lohnt sich einfach nicht bei wenigen Namen im Zertifikat irgendwas zu basteln. 1 Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 23. Juni 2022 Autor Melden Teilen Geschrieben 23. Juni 2022 Ich habe jetzt über Powershell eine Anforderung mit autodiscover.domain1.de, autodiscover.domain2.de, mailhost.domain1.de und mailhost.domain2.de erstellt und mir bei der PSW ein Multi Zertifikat erstellt. Split DNS ist für beide Domains eingerichtet. Mal schauen, ob das so jetzt funktioniert. Hintergrund: Beim Provider kann ich nicht selbstständig SRV, DNS, ... setzen, sondern muss das immer telefonisch beauftagen und dann warten. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 23. Juni 2022 Melden Teilen Geschrieben 23. Juni 2022 vor 34 Minuten schrieb Dutch_OnE: autodiscover.domain1.de, autodiscover.domain2.de, mailhost.domain1.de und mailhost.domain2.de Mailhost domain2 is im Allgemeinen überflüssig, weil den zumindest in Outlook niemand anspricht. Wenns natürlich für OWA sein soll, dann ok. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.