Quirk18231 0 Geschrieben 25. Juni Melden Teilen Geschrieben 25. Juni Hi, ich habe einen EXC2019 mit mehreren Maildomänen. Jetzt meckert er natürlich bei der Einbindung mit den Zertifikaten bei Autodiscover etc. Kann ich mehrere Zertifikate in den Exchange einbinden und den Diensten zuordnen? autodiscover.maildomäne1.de, externeadresse.maildomäne1.de - Zert1? autodiscover.maildomäne2.de, externeadresse.maildomäne2.de - Zert2? und so weiter? Danke! Q Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 25. Juni Melden Teilen Geschrieben 25. Juni Hi, der einfachste Weg wäre ein SAN- / Multidomain-Zertifikat, welches den Autodiscover-Eintrag aller deiner Domains (die User als primäre SMTP Adresse nutzen) beinhaltet sowie den FQDN für den Clientzugriff. Gruß Jan 3 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni Moin, Exchange Online geht einen anderen Weg: es gibt eine primäre Adresse, autodiscover.outlook.com, und auf die lautet auch das Zertifikat. Alle Kundendomänen haben einen Alias (CNAME) namens autodsicover, der auf diese allgemeine Adresse verweist. Das kannst Du auch so machen mit dem bestehenden Zertifikat. Speziell für Outlook könnte man das auch mit SRV Records lösen, aber alle anderen Clients werden das nicht respektieren. Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni Bei der CNAME-Methode ist es wichtig, dass der eingetragene Server nicht per HTTPS erreichbar ist. Sonst bekommen die Clients einen Zertifikatsfehler. HTTPS auf REJECT und auf HTTP eine Umleitung auf HTTPS, wo der Hostname dann zum Zertifikat passt. Das Ziel der Umleitung kann direkt die externe URL des Exchange sein. Bei den letzten paar Installationen habe ich es mit SRV gelöst, weil es wesentlich eleganter ist. Aber es stimmt, weder Android noch iOS interessieren sich für den SRV-Record. Wenn der Kunde verwaltete Smartphones hat oder mit der Outlook-App arbeitet, ist es kein Problem. Ansonsten muss man einmalig Kontotyp "Exchange" wählen und den Servernamen eintragen, dann funktioniert ActiveSync auch ohne Autodiscover. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni vor 3 Stunden schrieb mwiederkehr: Bei den letzten paar Installationen habe ich es mit SRV gelöst, weil es wesentlich eleganter ist. Eigentlich ist es nicht eleganter und hilft halt nur bei Windows Outlook. Alle anderen Clients kennen den SRV Lookup im Autodiscover nicht. Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni Die wichtigste Frage wäre, um wie viele (als primäre STMP genutzte) Domains es denn konkret geht und ggfs. was das für ein Szenario ist. Bei "ein paar" bleibe ich dabei, da ist ein SAN Zertifikat am einfachsten und sinnvollsten. :) Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni vor 20 Minuten schrieb testperson: Bei "ein paar" definiert aber auch jeder anders. Bei mir wäre da spätestens bei 3 Schluss. ;) Hab aber Kunden die hatten da 10-20 drin. ;) Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni Wenn ich das SAN kaufen muss, wäre ich bei inkludierte Hosts - 1 raus. ;) Mit Let's Encrypt sind doch (AFAIK) 100 drin. :) 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.478 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni vor 8 Minuten schrieb testperson: Mit Let's Encrypt sind doch (AFAIK) 100 drin. :) Ja, das muss du aber dauernd erneuern (90 Tage..) Und SAN mit vielen Namen drin kosten selbst gekauft heute nicht mehr die Welt, ich habe 9 Namen drin https://ssl-trust.com/ Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni 270€ wären mir auch zuviel wenn es um Exchange Domains ginge. ;) Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni Man könnte sich noch ewig streiten ab wann es sich lohnt. Zurück zum Thema. Eigendlich gibt es drei (schon genannte Möglichkeiten): - SRV Records (nicht empfohlen) - SAN Zertifikat (x* Autodiscover + x* SMTP-Domain) / Wildcard Zertifikat - HTTP Umleitung auf eine HTTPS Adresse mit ggf. nur einem DNS Namen im Zertifikat (hier ist auch ein SAN Zert. möglich) 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Juni Melden Teilen Geschrieben 26. Juni vor 1 Stunde schrieb Dukel: - HTTP Umleitung auf eine HTTPS Adresse mit ggf. nur einem DNS Namen im Zertifikat (hier ist auch ein SAN Zert. möglich) Die wäre üblicherweise zu bevorzugen, wenn man eine IP für den http Redirect nutzen kann. Sprich meine Priorität wäre umgekehrt zu deiner Liste (von unten nach oben). Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben 26. Juli Autor Melden Teilen Geschrieben 26. Juli Am 25.6.2024 um 12:48 schrieb testperson: Hi, der einfachste Weg wäre ein SAN- / Multidomain-Zertifikat, welches den Autodiscover-Eintrag aller deiner Domains (die User als primäre SMTP Adresse nutzen) beinhaltet sowie den FQDN für den Clientzugriff. Gruß Jan Hi, ich lese gerade das man ein Wildcard Zert nicht an Pop und IMAP binden kann. Ist das für mich wichtig, wenn ich einen POP-Abholer benutzte? Eigentlich nicht - richtig? Frage jetzt noch einmal nach, bevor ich das Zert bestelle. Habe 4 Domains mit 2-3 SANs. Danke! Q Info: Ursprung des Problems ist die "Automatische Abwesenheitsnotiz" - welche aktuell nur in der Hauptdomain (Zertdomain) funktioniert. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.478 Geschrieben 26. Juli Melden Teilen Geschrieben 26. Juli vor 1 Minute schrieb Quirk18231: ...das für mich wichtig, wenn ich einen POP-Abholer benutzte? Eigentlich nicht - richtig? Wie, Pop-Abholer? Wer macht denn heute noch sowas? Losgelöst davon dürfte Wildcard auch nicht gehen, wenn die mehr als eine Domain hast Ein SAN-Zertifikat hingegen kann verschiedene Domains enthalten, aber mehr als zwei pro Domain braucht man nicht Und der Reverse-DNS muss zu dem ersten in der Reihenfolge passen, so meine Erfahrung Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 26. Juli Melden Teilen Geschrieben 26. Juli Der Pop3 Abholer arbeitet als Client (zu deinem Provider) und beim Binden geht es um deinen eigenen Server Teil. Außerdem ist das mit den Wildcard Zertifikaten bei Pop3 / Imap falsch: https://www.lisenet.com/2014/configure-wildcard-ssl-certificate-for-pop-imap-on-exchange-2010-server/ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.