Exchange2019 mehrere Mail-Domänen + Zertifikate - geht das?

[Quirk18231 0]

Hi,

 

ich habe einen EXC2019 mit mehreren Maildomänen. Jetzt meckert er natürlich bei der Einbindung mit den Zertifikaten bei Autodiscover etc.

 

Kann ich mehrere Zertifikate in den Exchange einbinden und den Diensten zuordnen?

 

autodiscover.maildomäne1.de, externeadresse.maildomäne1.de - Zert1?

autodiscover.maildomäne2.de, externeadresse.maildomäne2.de - Zert2?

 

und so weiter?

 

Danke!

 

Q

 

[testperson 1.618]

Hi,

 

der einfachste Weg wäre ein SAN- / Multidomain-Zertifikat, welches den Autodiscover-Eintrag aller deiner Domains (die User als primäre SMTP Adresse nutzen) beinhaltet sowie den FQDN für den Clientzugriff.

 

Gruß

Jan

[cj_berlin 1.281]

Moin,

 

Exchange Online geht einen anderen Weg: es gibt eine primäre Adresse, autodiscover.outlook.com, und auf die lautet auch das Zertifikat. Alle Kundendomänen haben einen Alias (CNAME) namens autodsicover, der auf diese allgemeine Adresse verweist. Das kannst Du auch so machen mit dem bestehenden Zertifikat.

 

Speziell für Outlook könnte man das auch mit SRV Records lösen, aber alle anderen Clients werden das nicht respektieren.

[mwiederkehr 372]

Bei der CNAME-Methode ist es wichtig, dass der eingetragene Server nicht per HTTPS erreichbar ist. Sonst bekommen die Clients einen Zertifikatsfehler. HTTPS auf REJECT und auf HTTP eine Umleitung auf HTTPS, wo der Hostname dann zum Zertifikat passt. Das Ziel der Umleitung kann direkt die externe URL des Exchange sein.

 

Bei den letzten paar Installationen habe ich es mit SRV gelöst, weil es wesentlich eleganter ist. Aber es stimmt, weder Android noch iOS interessieren sich für den SRV-Record. Wenn der Kunde verwaltete Smartphones hat oder mit der Outlook-App arbeitet, ist es kein Problem. Ansonsten muss man einmalig Kontotyp "Exchange" wählen und den Servernamen eintragen, dann funktioniert ActiveSync auch ohne Autodiscover.

[NorbertFe 1.968]

vor 3 Stunden schrieb mwiederkehr:

Bei den letzten paar Installationen habe ich es mit SRV gelöst, weil es wesentlich eleganter ist.

Eigentlich ist es nicht eleganter und hilft halt nur bei Windows Outlook. Alle anderen Clients kennen den SRV Lookup im Autodiscover nicht.

[testperson 1.618]

Die wichtigste Frage wäre, um wie viele (als primäre STMP genutzte)  Domains es denn konkret geht und ggfs. was das für ein Szenario ist. Bei "ein paar" bleibe ich dabei, da ist ein SAN Zertifikat am einfachsten und sinnvollsten. :)

[NorbertFe 1.968]

vor 20 Minuten schrieb testperson:

Bei "ein paar"

definiert aber auch jeder anders. Bei mir wäre da spätestens bei 3 Schluss. ;) Hab aber Kunden die hatten da 10-20 drin. ;)

[testperson 1.618]

Wenn ich das SAN kaufen muss, wäre ich bei inkludierte Hosts - 1 raus. ;) Mit Let's Encrypt sind doch (AFAIK) 100 drin. :)

[Nobbyaushb 1.440]

vor 8 Minuten schrieb testperson:

 Mit Let's Encrypt sind doch (AFAIK) 100 drin. :)

Ja, das muss du aber dauernd erneuern (90 Tage..)

Und SAN mit vielen Namen drin kosten selbst gekauft heute nicht mehr die Welt, ich habe 9 Namen drin

https://ssl-trust.com/

[NorbertFe 1.968]

270€ wären mir auch zuviel wenn es um Exchange Domains ginge. ;) 

[Dukel 448]

Man könnte sich noch ewig streiten ab wann es sich lohnt.

 

Zurück zum Thema. Eigendlich gibt es drei (schon genannte Möglichkeiten):

- SRV Records (nicht empfohlen)

- SAN Zertifikat (x* Autodiscover + x* SMTP-Domain) / Wildcard Zertifikat

- HTTP Umleitung auf eine HTTPS Adresse mit ggf. nur einem DNS Namen im Zertifikat (hier ist auch ein SAN Zert. möglich)

[NorbertFe 1.968]

 

vor 1 Stunde schrieb Dukel:

- HTTP Umleitung auf eine HTTPS Adresse mit ggf. nur einem DNS Namen im Zertifikat (hier ist auch ein SAN Zert. möglich)

 

Die wäre üblicherweise zu bevorzugen, wenn man eine IP für den http Redirect nutzen kann. Sprich meine Priorität wäre umgekehrt zu deiner Liste (von unten nach oben).

[Quirk18231 0]

Am 25.6.2024 um 12:48 schrieb testperson:

Hi,

 

der einfachste Weg wäre ein SAN- / Multidomain-Zertifikat, welches den Autodiscover-Eintrag aller deiner Domains (die User als primäre SMTP Adresse nutzen) beinhaltet sowie den FQDN für den Clientzugriff.

 

Gruß

Jan

 

Hi,

 

ich lese gerade das man ein Wildcard Zert nicht an Pop und IMAP binden kann. Ist das für mich wichtig, wenn ich einen POP-Abholer benutzte? Eigentlich nicht - richtig?

 

Frage jetzt noch einmal nach, bevor ich das Zert bestelle.

 

Habe 4 Domains mit 2-3 SANs.

 

Danke!

 

Q

Info: Ursprung des Problems ist die "Automatische Abwesenheitsnotiz" - welche aktuell nur in der Hauptdomain (Zertdomain) funktioniert.

[Nobbyaushb 1.440]

vor 1 Minute schrieb Quirk18231:

...das für mich wichtig, wenn ich einen POP-Abholer benutzte? Eigentlich nicht - richtig?

Wie, Pop-Abholer?

Wer macht denn heute noch sowas?

Losgelöst davon dürfte Wildcard auch nicht gehen, wenn die mehr als eine Domain hast
Ein SAN-Zertifikat hingegen kann verschiedene Domains enthalten, aber mehr als zwei pro Domain braucht man nicht

Und der Reverse-DNS muss zu dem ersten in der Reihenfolge passen, so meine Erfahrung

[Dukel 448]

Der Pop3 Abholer arbeitet als Client (zu deinem Provider) und beim Binden geht es um deinen eigenen Server Teil.

 

Außerdem ist das mit den Wildcard Zertifikaten bei Pop3 / Imap falsch: https://www.lisenet.com/2014/configure-wildcard-ssl-certificate-for-pop-imap-on-exchange-2010-server/