Ein SAN-Zertifikat für Exchange + Terminalserver - geht das?
Hallo Miteinander,
ich muss ein neues Zertifikat anfordern. So 100% durchgeblickt habe ich noch nicht.
Ich möchte ein neues SAN-Zertifikat für Exchange und Outlook-Anywhere sowie unseren Terminalserver zulegen. Ich möchte gern ein öffentliches Zertifikat kaufen und keine interne Zertifizierungsstelle betreiben.
Ich habe aktuell einen Testterminalserver in meiner Testumgebung installiert. Um auf dem Clientcomputer die Apps als "Work Resources" hinzuzufügen, müsste ich das Zertifikat beim Client manuell hinzufügen. Das würde ich gerne mit dem öffentlichen Zertifikat vermeiden. Kann ich hier im SAN Zertifikat die URL "apps.firma.de" mit angeben und das Zertifikat im Terminalserver hinzufügen? Im DNS muss dann "apps.firma.de" auf den/die Terminalserverhosts auflösen oder? (DNS RoundRobin)
Ist das der richtige Weg oder bring ich da gerade etwas durcheinander?
RDS-Gateway ist aktuell noch nicht geplant, kann aber noch kommen.
Alternativ müsste ich einen Domain CA erstellen und ein Zertifikat ausstellen, dass ich dann zum Terminalserver hinzufüge?
Habe ich das richtig verstanden?
URLs für mein SAN Zertifikat:
mail.firma.de
autodiscover.firma.de
apps.firma.de
Vielen Dank für eure Hilfe,
Grüße
Leon
ich muss ein neues Zertifikat anfordern. So 100% durchgeblickt habe ich noch nicht.
Ich möchte ein neues SAN-Zertifikat für Exchange und Outlook-Anywhere sowie unseren Terminalserver zulegen. Ich möchte gern ein öffentliches Zertifikat kaufen und keine interne Zertifizierungsstelle betreiben.
Ich habe aktuell einen Testterminalserver in meiner Testumgebung installiert. Um auf dem Clientcomputer die Apps als "Work Resources" hinzuzufügen, müsste ich das Zertifikat beim Client manuell hinzufügen. Das würde ich gerne mit dem öffentlichen Zertifikat vermeiden. Kann ich hier im SAN Zertifikat die URL "apps.firma.de" mit angeben und das Zertifikat im Terminalserver hinzufügen? Im DNS muss dann "apps.firma.de" auf den/die Terminalserverhosts auflösen oder? (DNS RoundRobin)
Ist das der richtige Weg oder bring ich da gerade etwas durcheinander?
RDS-Gateway ist aktuell noch nicht geplant, kann aber noch kommen.
Alternativ müsste ich einen Domain CA erstellen und ein Zertifikat ausstellen, dass ich dann zum Terminalserver hinzufüge?
Habe ich das richtig verstanden?
URLs für mein SAN Zertifikat:
mail.firma.de
autodiscover.firma.de
apps.firma.de
Vielen Dank für eure Hilfe,
Grüße
Leon
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 388070
Url: https://administrator.de/forum/ein-san-zertifikat-fuer-exchange-terminalserver-geht-das-388070.html
Ausgedruckt am: 14.05.2025 um 04:05 Uhr
5 Kommentare
Neuester Kommentar
Ich weiß nicht, ob Microsoft da noch irgendwelche speziellen Hostnames prüft oder spezielle Zertifikatsregeln hat.
Grundsätzlich sollte das aber gehen, denn der Client prüft normalerweise alle Namen im Zertifikat und akzeptiert es, wenn einer der Namen passt.
In der Tat Voraussetzung dafür ist, dass du entsprechende DNS-Records mit dem Namen anlegst. Wie viele das dann sind ist egal, Hauptsache der Name ist da und passt zum vorgezeigten Zertifikat
Grundsätzlich sollte das aber gehen, denn der Client prüft normalerweise alle Namen im Zertifikat und akzeptiert es, wenn einer der Namen passt.
In der Tat Voraussetzung dafür ist, dass du entsprechende DNS-Records mit dem Namen anlegst. Wie viele das dann sind ist egal, Hauptsache der Name ist da und passt zum vorgezeigten Zertifikat
Moin,
für SBS 2011 habe ich Wildcard-Zertifikate verwendet.
Da kann man nichts vergessen.
Stefan
für SBS 2011 habe ich Wildcard-Zertifikate verwendet.
Da kann man nichts vergessen.
Stefan
Muss ich da ganz normal im Exchange die Anfrage stellen oder geht das irgendwie besser?
Irgendwelche Zwischenzertifikate möchte ich auch ungern verteilen.
Irgendwelche Zwischenzertifikate möchte ich auch ungern verteilen.
Hallo,
da hat jeder sein Rezept.
Ich erstelle key und csr mit openssl.
Danach wandele ich das mit openssl in pfx um was ich dann in Windows importiere.
Stefan
da hat jeder sein Rezept.
Ich erstelle key und csr mit openssl.
Danach wandele ich das mit openssl in pfx um was ich dann in Windows importiere.
Stefan
Also du erstellst die Anfrage mit openssl, schickst diese an die Zertifizierungsstelle und bekommst dann ein Zertifikat zurück. Das spielst du dann in OpenSSL ein oder?
Danach exportierst du das Zertifikat + privater Schlüssel als pfx um es dann in die Windows Server zu importieren?
Könnte ich dafür auch einfach den Exchange benutzen?
Danach exportierst du das Zertifikat + privater Schlüssel als pfx um es dann in die Windows Server zu importieren?
Könnte ich dafür auch einfach den Exchange benutzen?
