2 Domänen und 2 Zertifikate: SNI - Autodiscover nimmt falsches Zertifikat

[Dutch_OnE 39]

moin,

 

ich habe eine Domain1 und eine Domain2. Für beide ist Split DNS eingerichtet. Im IIS sind 2 Zertifikate gebunden, für die Domain 2 ist dort SNI aktiviert. Das funktioniert soweit.

Nun möchte ich ein neues Mailprofil erstellen und wenn ich Domain1 oder Domain2 nehme, nimmt er immer das jeweils falsche Zertifikat.

Beide Zertifikate sind im Exchange an IIS und SMTP gebunden.

 

Kann man das irgendwie steuern?

 

Gruß DO

[NorbertFe 2.034]

Wie bindet man denn zwei Zertifikate im exchange an den iis?

[Dutch_OnE 39]

Ich hatte das zweite mit einem SNI eingebunden. Die konnten auch beide extern aufgerufen werden, nur macht Outlook halt Probleme mit dem Autodiscover.

 

Lösung 1: Zertifikat wo beide Domänen enthalten sind (teuerer)

Lösung 2: SRV Eintrag im öffentlichen DNS setzen. Allerdings sollten auch mobile Geräte darauf zugreifen können und ich weiß nicht ob SRV dann geht.

 

Gibt es noch eine Lösung3?

 

[mwiederkehr 373]

Du könntest HTTP-Redirect verwenden. Auf einem Server (muss nicht der Exchange sein) eine IP nur per HTTP erreichbar machen, nicht per HTTPS (HTTPS besser rejecten als droppen, sonst läuft Outlook in ein Timeout). Die HTTP-Site macht nichts anderes als einen Redirect auf https://autodiscover.domain.com/autodiscover. Dann passen Hostname und Zertifikat zusammen und Outlook fragt lediglich einmalig, ob man mit der Weiterleitung einverstanden ist. Anleitung: https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/

 

Wir haben das früher, als Hosted Exchange noch gefragt war, so gemacht. Heutzutage würde ich es zuerst mit der SRV-Methode versuchen in der Hoffnung, dass diese mittlerweile breit unterstützt wird. Dies wäre eleganter.

[Dutch_OnE 39]

Und ist ein Multi Domain Zertifikat nicht mehr state of the art? Davon abgesehen, dass ich die CSR in der EAC auch garnicht erstellen kann.

[cj_berlin 1.315]

vor 7 Stunden schrieb Dutch_OnE:

Und ist ein Multi Domain Zertifikat nicht mehr state of the art?

Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste  Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains.

 

Wenn Outlook der Client der Wahl ist, solltest Du mit SRV Records hinkommen, ansonsten halt, wie oben bereits gesagt, Redirects. 

[Dutch_OnE 39]

Ok, bei FrankysWeb findet man ein Tutorial dazu.

 

 

 

 

bearbeitet 23. Juni 2022 von Dutch_OnE

[NorbertFe 2.034]

vor 9 Stunden schrieb Dutch_OnE:

Davon abgesehen, dass ich die CSR in der EAC auch garnicht erstellen kann.

Und? Dafür gibts ja powershell. 

[MrCocktail 192]

vor 2 Stunden schrieb cj_berlin:

Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste  Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains.

 

Naja, aber auch da ist außer "teuer" es möglich, verdammt viele Autodiscover Einträge in ein MultiDomain Zertifikat zu bekommen. Meine Zertifikatskollegen freuen sich immer, denn wenn wir es als erste mit ins MultiDomain aufnehmen, ist auch gleich sichergestellt, dass es postmaster, hostmaster und webmaster für die Maildomain gibt und die bei uns ins Ticketsystem laufen und Anfragen ordentlich bearbeitet werden können. Und wenn man ehrlich ist, so teuer ist es auch nicht.

[NorbertFe 2.034]

vor 22 Minuten schrieb MrCocktail:

Naja, aber auch da ist außer "teuer" es möglich, verdammt viele Autodiscover Einträge in ein MultiDomain Zertifikat zu bekommen.

Ja bestimmt. Millionen. ;) und vor allem jederzeit weltweit sobald ein neuer Kunde kommt. :p

 

und vor allem gibts bei san Einträgen afair auch ein Limit.

[testperson 1.677]

Hi,

 

bei PSW Group gibt es das "Sectigo Lite Multidomain" (SSL-Zertifikat - Sectigo Lite Multidomain - PSW GROUP (psw-group.de)). Da sind bereits 3 FQDNs enthalten für 89 €. Weitere Domains gibt es dann ab 29 €. Ansonsten eben Let's Encrypt / Zero SSL / ... .

 

Bevor ich bei 2 Domains mit SRV Records oder http Redirect (oder auch Let's Encrypt) loslege, würde ich jährlich die 89 € (ggfs. 118 €) investieren.

 

Gruß

Jan

[MrCocktail 192]

vor 22 Minuten schrieb NorbertFe:

Ja bestimmt. Millionen. ;) und vor allem jederzeit weltweit sobald ein neuer Kunde kommt. :p

 

und vor allem gibts bei san Einträgen afair auch ein Limit.

Ne für die Cloud macht es keinen Sinn und bei uns funktionieren auch SRV Einträge... ich wollte nur klarstellen, dass es im Zweifel nur ein "Geld" Problem ist und für vieles ist es einfacher, die Kosten in Kauf zu nehmen... Wir haben bei dem Kunden eine Applikation die macht halt sehr zuverlässig Autodiscover und funktioniert dann, allerdings will Sie dafür den Namen autodiscover.example.com finden.

 

Jetzt ist es deutlich einfacher, das Zertifikat passend zu haben, als die Applikation anzupassen.

bearbeitet 23. Juni 2022 von MrCocktail

[NorbertFe 2.034]

OK, dann sind vermutlich fast alle hier im Thread der selben Meinung. Es lohnt sich einfach nicht bei wenigen Namen im Zertifikat irgendwas zu basteln. 

[Dutch_OnE 39]

Ich habe jetzt über Powershell eine Anforderung mit autodiscover.domain1.de, autodiscover.domain2.de, mailhost.domain1.de und mailhost.domain2.de erstellt und mir bei der PSW ein Multi Zertifikat erstellt. Split DNS ist für beide Domains eingerichtet. Mal schauen, ob das so jetzt funktioniert.

 

Hintergrund: Beim Provider kann ich nicht selbstständig SRV, DNS, ... setzen, sondern muss das immer telefonisch beauftagen und dann warten.

[NorbertFe 2.034]

vor 34 Minuten schrieb Dutch_OnE:

autodiscover.domain1.de, autodiscover.domain2.de, mailhost.domain1.de und mailhost.domain2.de

Mailhost domain2 is im Allgemeinen überflüssig, weil den zumindest in Outlook niemand anspricht. Wenns natürlich für OWA sein soll, dann ok.