hash2k2
Goto Top

Exchange 2007 - self signed certificate für internal - wildcard für external

Nur kurz: Ist es möglich bei einem Exchange 2007 für den internen gebrauch das self-signed zertifkat zu benutzen und für den externen zugriff mit owa ein wildcard zertifikat.
Ich habe in dem Bereich kaum Ahnung. Wurde trotzdem gebeten, mich darum zu kümmern und zu informieren.

ich vermute, dass das nicht funktioniert, denn soweit ich das verstanden habe, kann ich nur ein zertifikat auf den Service "IIS" binden, oder?

intern wird einfach mit outlook auf den exchange zugegriffen.

Sind weitere Infos nötig? Einfach her damit face-smile

Content-ID: 326537

Url: https://administrator.de/forum/exchange-2007-self-signed-certificate-fuer-internal-wildcard-fuer-external-326537.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

StefanKittel
StefanKittel 16.01.2017 aktualisiert um 13:28:36 Uhr
Goto Top
Hallo,

nein, das geht nicht.

Überlichweise greift man dann auf den Exchange von intern und extern mit dem gleichen Hostnamen zu.
Für intern und für extern wird dieser Hostname mit verschiedenen IPs durch den DNS-Server aufgelöst.
Stichwort: Split-DNS.

Beispiel:
Hostname: mail.firma.de
extern: 217.1.2.3
intern: 10.1.1.17

Dann haben auch die Jungs und Mädels mit Notebooks oder/und Smartphones am wenigsten Stress.

Stefan
StefanKittel
StefanKittel 16.01.2017 um 13:29:51 Uhr
Goto Top
btw. Der Support für Exchange 2007 endet in 3 Monaten.
Also schnell was Neues.

Stefan
hash2k2
hash2k2 16.01.2017 aktualisiert um 13:36:39 Uhr
Goto Top
ok, das mit dem Support ist dann noch eine ganz andere Sache face-wink

angenommen ich hätte eine Wildcard-zertifikat auf *firma123.de und hätte bei diesem jetzt mit Subject Alternate Names sowas wie mail1.local und mail1 mit eingetragen und würde dieses Zertifikat dann nutzen. Wäre das theoretisch möglich?

also externer zugriff über owa.firma123.de
und intern über mail1.local

Nur zum Verständis. habe mich jetzt die letzten zwei Stunden in die Thematik eingelesen.
StefanKittel
StefanKittel 16.01.2017 um 13:41:17 Uhr
Goto Top
Hallo,

grundsätzlich ja.
Dem IIS sind die Hostname relativ egal.

Aber: Es gibt keine Anbieter mehr die Zertifikate mit .local ausstellen.

Stefan
131381
131381 16.01.2017 aktualisiert um 13:45:50 Uhr
Goto Top
Ausserwoeger
Ausserwoeger 16.01.2017 um 13:50:30 Uhr
Goto Top
Hi

Soweit ich weiss bekommt man keine .local Zertifikate mehr ausgestellt.

Und ein Wildcard ist glaub ich das teuerste. ich würde da eher ein Multidomain Zertifkiat nehmen kostet weniger

LG Andy
SeaStorm
SeaStorm 16.01.2017 um 14:15:07 Uhr
Goto Top
Hi

wie hier schon geschrieben wurde, wäre die sauberste Lösung, die Clients intern über den DNS mit der internen IP zu versorgen.
Aber dennoch würde das funktionieren, wie du es wills. wenn du mehrere NICs hast.
Bei der bestehenden NIC die registrierung am DNS abstellen, damit die Clients nicht mehr nach dieser IP den internen Namen auflösen.
Neue NIC machen, IP geben, am DNS registrieren lassen und dann am IIS das interne zertifikat an dieser IP nur unter diesem hostnamen einrichten.