Exchange 2010 SSL Zertifikat
Hallo zusammen,
ich bin leider im Internet nicht so richtig fündig geworden darum wende ich mich an euch bzw. an das Forum und hoffe ihr könnt mir helfen und zwar:
Ich mache gerade eine Exchange 2003 auf 2010 Migration und jetzt ist es an der Zeit ein Zertifikat zur erstellen jedoch habe ich folgendes Problem und weis daher gar nicht ob das so funktioniert also:
Ich befinde mich im Besitz von 2 Domainname, Im folgenden genannt test.com und test2.net
AD Domain Name: intern.test.com
Ex2003: Ex03.intern.test.com
Ex2010: Ex10.intern.test.com
Netbios: test.com
Ist Situation:
Public IP MX Record (mail.test.com) --> Firewall NAT zu Ex2003 Server Mail Mail-Adressen Vorname.Nachname@test.com
OWA Zugriff mit exchange.test.com
Soweit denke ist das ja nix neues ;)
Soll Situation
Public IP MX Record Weiterleitung mail.test.com auf mail.test2.net
Mail-Adressen soll bestehend bleiben auf Vorname.Nachname@test.com
Zusätzlich sollen die Domains autodiscover.test2.net archive.test2.net owa.test2.net mit der selben IP wie der MX regestriert werden oder neue IP aber da sind wir ins Intern noch nicht einig.
Und wenn ich auf OWA.test2.net surfe dann soll ich natürlich auf das WebbAcces mit der Mail Adresse von *@test.com kommen und auf Archive.test2.com auf das Mail Archiv, DNS Records werde ich natürlich dazu erstellen.
Jetzt kommt meine Quizfrage:
Wenn ich das Zertifikat erstelle mit den Domains *.test2.net und diese am Exchange2010 einbinde Funktioniert das überhaupt da die Mailadresse auf *.test.com bzw. der Echange auf *.test.com hört.?
Firewall und NAT vorrausgesetzt funktionieren.
Muss ich hier bei dem SSL dann mit Multiple Domains arbeiten?
Ziel wäre:
Mail Adressen von test.com unverändert beizubehalten
Autodiscover,OWA und Archive sollen von extern mit xxx.test2.net erreichbar sein
Ich hoffe ich konnte es einigermassen vernüftig erklären und Ihr versteht was ich meine und hoffe ihr könnt mir da helfen
Gruss und Danke
ich bin leider im Internet nicht so richtig fündig geworden darum wende ich mich an euch bzw. an das Forum und hoffe ihr könnt mir helfen und zwar:
Ich mache gerade eine Exchange 2003 auf 2010 Migration und jetzt ist es an der Zeit ein Zertifikat zur erstellen jedoch habe ich folgendes Problem und weis daher gar nicht ob das so funktioniert also:
Ich befinde mich im Besitz von 2 Domainname, Im folgenden genannt test.com und test2.net
AD Domain Name: intern.test.com
Ex2003: Ex03.intern.test.com
Ex2010: Ex10.intern.test.com
Netbios: test.com
Ist Situation:
Public IP MX Record (mail.test.com) --> Firewall NAT zu Ex2003 Server Mail Mail-Adressen Vorname.Nachname@test.com
OWA Zugriff mit exchange.test.com
Soweit denke ist das ja nix neues ;)
Soll Situation
Public IP MX Record Weiterleitung mail.test.com auf mail.test2.net
Mail-Adressen soll bestehend bleiben auf Vorname.Nachname@test.com
Zusätzlich sollen die Domains autodiscover.test2.net archive.test2.net owa.test2.net mit der selben IP wie der MX regestriert werden oder neue IP aber da sind wir ins Intern noch nicht einig.
Und wenn ich auf OWA.test2.net surfe dann soll ich natürlich auf das WebbAcces mit der Mail Adresse von *@test.com kommen und auf Archive.test2.com auf das Mail Archiv, DNS Records werde ich natürlich dazu erstellen.
Jetzt kommt meine Quizfrage:
Wenn ich das Zertifikat erstelle mit den Domains *.test2.net und diese am Exchange2010 einbinde Funktioniert das überhaupt da die Mailadresse auf *.test.com bzw. der Echange auf *.test.com hört.?
Firewall und NAT vorrausgesetzt funktionieren.
Muss ich hier bei dem SSL dann mit Multiple Domains arbeiten?
Ziel wäre:
Mail Adressen von test.com unverändert beizubehalten
Autodiscover,OWA und Archive sollen von extern mit xxx.test2.net erreichbar sein
Ich hoffe ich konnte es einigermassen vernüftig erklären und Ihr versteht was ich meine und hoffe ihr könnt mir da helfen
Gruss und Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193051
Url: https://administrator.de/forum/exchange-2010-ssl-zertifikat-193051.html
Ausgedruckt am: 24.12.2024 um 02:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
Das Zertifikat muss immer zum Hostname passen, der angesprochen wird.
Wenn du von extern aufrufst xxx.test2.net, dann muss auf dem Zertifikat xxx.test2.net stehen, das ist richtig. Du musst deinen Exchange aber ja auch von intern ansprechen, und auch per HTTPS. Intern heißt den Exchange Ex10.intern.test.com, dann muss dieser Name auch auf dem Zertifikat stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.
Gleiches gilt auch für dein OWA: Best Practice ist es definitiv _nicht_ den Exchange-Server direkt aus dem Internet erreichbar zu machen, sondern da gehört ein Reverse-Proxy in einer DMZ davor. Damit kann man auch das Problem mit den Zertifikaten lösen, weil man auf dem Proxy ein anderes hinterlegen kann, als auf dem Exchange.
Zu Domains: SMTP-Domains (also die in den E-Mail-Adressen) haben mit Hostnamen und somit auch mit Zertifikaten ziemlich wenig zu tun*. Du kannst also meinpostfach@domainA.de als Mailadresse verwenden, und die OWA unter owa.domainb.de anbieten. Gleiches gilt für den MX, der kann auch auf mx01.domainc.de lauten. Wichtig ist nur, das jeweils ein Zertifikat mit dem richtigen Namen vorgezeigt wird (und für den MX noch so Scherze wie Reverse-DNS-Auflösung, aber das ist ein anderes Kapitel).
Gruß
Filipp
*= Es gibt einen Punkt, wo E-Mail-Adresse und Hostname des Servers etwas miteinander zu tun haben: Wenn du Autodiscover von extern machen willst (was du nur benötigtst, wenn nicht-Domänen-Clients Outlook verwenden sollen) tust du dir leichter, wenn der Server unter autodiscover.domainA.de erreichbar ist (also die Domain, die die Mailadressen haben).
PS: ich würde dir dazu raten, kürze Sätze zu verwenden. Auch das gelegentliche Einfügen eines Kommas wäre bestimmt nicht verkehrt. Beides vereinfacht das Verstehen deines Textes.
Somit heist dass ich kann intern machen was ich will solange die externen Adressen mit
den dementsprechenden Zertifikaten versehen sind
Nein.den dementsprechenden Zertifikaten versehen sind
Das Zertifikat muss immer zum Hostname passen, der angesprochen wird.
Wenn du von extern aufrufst xxx.test2.net, dann muss auf dem Zertifikat xxx.test2.net stehen, das ist richtig. Du musst deinen Exchange aber ja auch von intern ansprechen, und auch per HTTPS. Intern heißt den Exchange Ex10.intern.test.com, dann muss dieser Name auch auf dem Zertifikat stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.
Public IP MX Record Weiterleitung mail.test.com auf mail.test2.net
Du willst also mit dem internen Exchange Mails direkt aus dem Internet annehmen? Das ist nicht wirklich best Practice, da gehört ein AV/AS-Gateway davor.Gleiches gilt auch für dein OWA: Best Practice ist es definitiv _nicht_ den Exchange-Server direkt aus dem Internet erreichbar zu machen, sondern da gehört ein Reverse-Proxy in einer DMZ davor. Damit kann man auch das Problem mit den Zertifikaten lösen, weil man auf dem Proxy ein anderes hinterlegen kann, als auf dem Exchange.
Zu Domains: SMTP-Domains (also die in den E-Mail-Adressen) haben mit Hostnamen und somit auch mit Zertifikaten ziemlich wenig zu tun*. Du kannst also meinpostfach@domainA.de als Mailadresse verwenden, und die OWA unter owa.domainb.de anbieten. Gleiches gilt für den MX, der kann auch auf mx01.domainc.de lauten. Wichtig ist nur, das jeweils ein Zertifikat mit dem richtigen Namen vorgezeigt wird (und für den MX noch so Scherze wie Reverse-DNS-Auflösung, aber das ist ein anderes Kapitel).
Gruß
Filipp
*= Es gibt einen Punkt, wo E-Mail-Adresse und Hostname des Servers etwas miteinander zu tun haben: Wenn du Autodiscover von extern machen willst (was du nur benötigtst, wenn nicht-Domänen-Clients Outlook verwenden sollen) tust du dir leichter, wenn der Server unter autodiscover.domainA.de erreichbar ist (also die Domain, die die Mailadressen haben).
PS: ich würde dir dazu raten, kürze Sätze zu verwenden. Auch das gelegentliche Einfügen eines Kommas wäre bestimmt nicht verkehrt. Beides vereinfacht das Verstehen deines Textes.
Hallo,
Wenn du eins kaufst würde ich da nochmal drüber nachdenken (und evtl auch mit einem selbsterstellten testen, bevor ich eines kaufe)
Für SMTP würde ich ein eigenes Zertifikat nur auf mail.test.com nehmen, das dürfte billiger sein, als dem OWA-Zertifikat einen weiteren SAN hinzuzufügen.
Wofür willst du mail.test2.net haben?
Benötigst du Autdiscover von extern (soll RPC-over-HTTPS/Outlook Anywhere) eingesetzt werden? Wofür brauchst du sonst die autodiscover-Namen?
Das Archiv ist doch wahrscheinlich soweiso ein separater Server, oder? Dann kannst du da auch ein separates Zertifikat nehmen.
Gruß
Filipp
Ok ich denke verstanden somit muss mein Zertifikat folgende Domain Namen beinhalten:
Wenn du ein selbsterstelles Zertifikat nimmst: Ja, füge die einfach alle hinzu, und gut ist.Wenn du eins kaufst würde ich da nochmal drüber nachdenken (und evtl auch mit einem selbsterstellten testen, bevor ich eines kaufe)
Für SMTP würde ich ein eigenes Zertifikat nur auf mail.test.com nehmen, das dürfte billiger sein, als dem OWA-Zertifikat einen weiteren SAN hinzuzufügen.
Wofür willst du mail.test2.net haben?
Benötigst du Autdiscover von extern (soll RPC-over-HTTPS/Outlook Anywhere) eingesetzt werden? Wofür brauchst du sonst die autodiscover-Namen?
Das Archiv ist doch wahrscheinlich soweiso ein separater Server, oder? Dann kannst du da auch ein separates Zertifikat nehmen.
Gruß
Filipp
Hallo,
Gruß
Filipp
Braucht der MX Record kein Eigenes Zertifikat?
Ein MX-Record braucht kein Zertifikat (er ist ja auch nur ein Eintrag im DNS). Ein Host, auf den ein MX-Record verweist, sollte ein eigenes Zertifikat haben (das -wie immer- auch zum Hostname passt). Du hast doch auch nur einen Host, der Mails aus dem Internet annehmen könnte, oder?Gruß
Filipp
Hallo.
Bei einer sauberen Konfiguration des Exchange und DNS ist der interne Name nicht notwendig. Es kann natürlich das Leben erleichtern, aber es ist oft gar nicht so einfach derartige Zertifikate zu bekommen.
Zudem gibt es immer mehr Anbieter, die interne Namen nicht mehr akzeptieren - http://support.godaddy.com/help/article/6935/using-intranet-and-reserve ...
Eine "saubere" Konfiguration führen z.B. die Assistenten des SBS 2008 / SBS 2011 durch
LG Günther
Intern heißt den Exchange Ex10.intern.test.com, dann muss dieser Name auch auf dem Zertifikat
stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.
stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.
Bei einer sauberen Konfiguration des Exchange und DNS ist der interne Name nicht notwendig. Es kann natürlich das Leben erleichtern, aber es ist oft gar nicht so einfach derartige Zertifikate zu bekommen.
Zudem gibt es immer mehr Anbieter, die interne Namen nicht mehr akzeptieren - http://support.godaddy.com/help/article/6935/using-intranet-and-reserve ...
Eine "saubere" Konfiguration führen z.B. die Assistenten des SBS 2008 / SBS 2011 durch
LG Günther