wuggale
Goto Top

Exchange 2010 SSL Zertifikat

Hallo zusammen,

ich bin leider im Internet nicht so richtig fündig geworden darum wende ich mich an euch bzw. an das Forum und hoffe ihr könnt mir helfen und zwar:

Ich mache gerade eine Exchange 2003 auf 2010 Migration und jetzt ist es an der Zeit ein Zertifikat zur erstellen jedoch habe ich folgendes Problem und weis daher gar nicht ob das so funktioniert also:
Ich befinde mich im Besitz von 2 Domainname, Im folgenden genannt test.com und test2.net

AD Domain Name: intern.test.com
Ex2003: Ex03.intern.test.com
Ex2010: Ex10.intern.test.com
Netbios: test.com


Ist Situation:
Public IP MX Record (mail.test.com) --> Firewall NAT zu Ex2003 Server Mail Mail-Adressen Vorname.Nachname@test.com
OWA Zugriff mit exchange.test.com

Soweit denke ist das ja nix neues ;)

Soll Situation
Public IP MX Record Weiterleitung mail.test.com auf mail.test2.net
Mail-Adressen soll bestehend bleiben auf Vorname.Nachname@test.com
Zusätzlich sollen die Domains autodiscover.test2.net archive.test2.net owa.test2.net mit der selben IP wie der MX regestriert werden oder neue IP aber da sind wir ins Intern noch nicht einig.
Und wenn ich auf OWA.test2.net surfe dann soll ich natürlich auf das WebbAcces mit der Mail Adresse von *@test.com kommen und auf Archive.test2.com auf das Mail Archiv, DNS Records werde ich natürlich dazu erstellen.


Jetzt kommt meine Quizfrage:

Wenn ich das Zertifikat erstelle mit den Domains *.test2.net und diese am Exchange2010 einbinde Funktioniert das überhaupt da die Mailadresse auf *.test.com bzw. der Echange auf *.test.com hört.?
Firewall und NAT vorrausgesetzt funktionieren.

Muss ich hier bei dem SSL dann mit Multiple Domains arbeiten?


Ziel wäre:
Mail Adressen von test.com unverändert beizubehalten
Autodiscover,OWA und Archive sollen von extern mit xxx.test2.net erreichbar sein


Ich hoffe ich konnte es einigermassen vernüftig erklären und Ihr versteht was ich meine und hoffe ihr könnt mir da helfen

Gruss und Danke

Content-ID: 193051

Url: https://administrator.de/forum/exchange-2010-ssl-zertifikat-193051.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

GuentherH
GuentherH 20.10.2012 um 12:41:51 Uhr
Goto Top
Hallo.

Autodiscover,OWA und Archive sollen von extern mit xxx.test2.net erreichbar sein

Dann muss auch das Zertifikat auf xxx.test2.net lauten. Für welche zusätzlichen Domänen der Exchange noch verantwortlich ist (Empfängerrichtlinien) ist dem Exchange dann egal.

LG Günther
wuggale
wuggale 20.10.2012 um 14:03:03 Uhr
Goto Top
kurze Antwort auf den langen Text von mir :D

Somit heist dass ich kann intern machen was ich will solange die externen Adressen mit den dementsprechenden Zertifikaten versehen sind und die Domains in sich in meinen Besitz befinden, und ob die Zertifikate mit der Internen Domain überseinstimmen is somit auch egal korrekt?

Gruss
Tom
filippg
filippg 20.10.2012 aktualisiert um 15:04:30 Uhr
Goto Top
Hallo,

Somit heist dass ich kann intern machen was ich will solange die externen Adressen mit
den dementsprechenden Zertifikaten versehen sind
Nein.
Das Zertifikat muss immer zum Hostname passen, der angesprochen wird.
Wenn du von extern aufrufst xxx.test2.net, dann muss auf dem Zertifikat xxx.test2.net stehen, das ist richtig. Du musst deinen Exchange aber ja auch von intern ansprechen, und auch per HTTPS. Intern heißt den Exchange Ex10.intern.test.com, dann muss dieser Name auch auf dem Zertifikat stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.

Public IP MX Record Weiterleitung mail.test.com auf mail.test2.net
Du willst also mit dem internen Exchange Mails direkt aus dem Internet annehmen? Das ist nicht wirklich best Practice, da gehört ein AV/AS-Gateway davor.

Gleiches gilt auch für dein OWA: Best Practice ist es definitiv _nicht_ den Exchange-Server direkt aus dem Internet erreichbar zu machen, sondern da gehört ein Reverse-Proxy in einer DMZ davor. Damit kann man auch das Problem mit den Zertifikaten lösen, weil man auf dem Proxy ein anderes hinterlegen kann, als auf dem Exchange.

Zu Domains: SMTP-Domains (also die in den E-Mail-Adressen) haben mit Hostnamen und somit auch mit Zertifikaten ziemlich wenig zu tun*. Du kannst also meinpostfach@domainA.de als Mailadresse verwenden, und die OWA unter owa.domainb.de anbieten. Gleiches gilt für den MX, der kann auch auf mx01.domainc.de lauten. Wichtig ist nur, das jeweils ein Zertifikat mit dem richtigen Namen vorgezeigt wird (und für den MX noch so Scherze wie Reverse-DNS-Auflösung, aber das ist ein anderes Kapitel).

Gruß

Filipp

*= Es gibt einen Punkt, wo E-Mail-Adresse und Hostname des Servers etwas miteinander zu tun haben: Wenn du Autodiscover von extern machen willst (was du nur benötigtst, wenn nicht-Domänen-Clients Outlook verwenden sollen) tust du dir leichter, wenn der Server unter autodiscover.domainA.de erreichbar ist (also die Domain, die die Mailadressen haben).

PS: ich würde dir dazu raten, kürze Sätze zu verwenden. Auch das gelegentliche Einfügen eines Kommas wäre bestimmt nicht verkehrt. Beides vereinfacht das Verstehen deines Textes.
wuggale
wuggale 20.10.2012 um 15:40:11 Uhr
Goto Top
Ok ich denke verstanden somit muss mein Zertifikat folgende Domain Namen beinhalten:

Ex10.intern.test.com
Autidiscover.test.com
Mail.test.com
OWA.test2.net
Autodiscover.test2.net
Archiv.test2.net
Mail.test2.net

Ist das so richtig? ich hoffe denn sonst habe ich gar nichts verstanden ;(

Gruss Danke
Tom
filippg
filippg 20.10.2012 um 15:46:26 Uhr
Goto Top
Hallo,

Ok ich denke verstanden somit muss mein Zertifikat folgende Domain Namen beinhalten:
Wenn du ein selbsterstelles Zertifikat nimmst: Ja, füge die einfach alle hinzu, und gut ist.

Wenn du eins kaufst würde ich da nochmal drüber nachdenken (und evtl auch mit einem selbsterstellten testen, bevor ich eines kaufe)

Für SMTP würde ich ein eigenes Zertifikat nur auf mail.test.com nehmen, das dürfte billiger sein, als dem OWA-Zertifikat einen weiteren SAN hinzuzufügen.
Wofür willst du mail.test2.net haben?

Benötigst du Autdiscover von extern (soll RPC-over-HTTPS/Outlook Anywhere) eingesetzt werden? Wofür brauchst du sonst die autodiscover-Namen?

Das Archiv ist doch wahrscheinlich soweiso ein separater Server, oder? Dann kannst du da auch ein separates Zertifikat nehmen.

Gruß

Filipp
wuggale
wuggale 20.10.2012 um 16:10:51 Uhr
Goto Top
Für SMTP würde ich ein eigenes Zertifikat nur auf mail.test.com nehmen, das dürfte billiger sein, als dem
OWA-Zertifikat einen weiteren SAN hinzuzufügen.
Wofür willst du mail.test2.net haben?

Braucht der MX Record kein Eigenes Zertifikat?

Benötigst du Autdiscover von extern (soll RPC-over-HTTPS/Outlook Anywhere) eingesetzt werden? Wofür brauchst du sonst
die autodiscover-Namen?

Ja das ist ein muss dass sollte natürlich am Schluss funktionieren

Das Archiv ist doch wahrscheinlich soweiso ein separater Server, oder? Dann kannst du da auch ein separates Zertifikat nehmen.

Ja das ist ein eigener aber wenn ich schon eins kaufe dann ballere ich das gleich mit rein


Sorry für die dummen Fragen aber ich hasse das Thema...
filippg
filippg 20.10.2012 um 16:22:34 Uhr
Goto Top
Hallo,

Braucht der MX Record kein Eigenes Zertifikat?
Ein MX-Record braucht kein Zertifikat (er ist ja auch nur ein Eintrag im DNS). Ein Host, auf den ein MX-Record verweist, sollte ein eigenes Zertifikat haben (das -wie immer- auch zum Hostname passt). Du hast doch auch nur einen Host, der Mails aus dem Internet annehmen könnte, oder?

Gruß

Filipp
wuggale
wuggale 20.10.2012 um 16:40:37 Uhr
Goto Top
Ok dann lange Rede kurzer Sinn, folgende DN im Zertifikat

Ex10.intern.test.com
Autidiscover.test.com
OWA.test2.net
Autodiscover.test2.net
Optional: Archiv.test2.net

Thats it?
GuentherH
GuentherH 21.10.2012 aktualisiert um 11:55:56 Uhr
Goto Top
Hallo.

Intern heißt den Exchange Ex10.intern.test.com, dann muss dieser Name auch auf dem Zertifikat
stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.

Bei einer sauberen Konfiguration des Exchange und DNS ist der interne Name nicht notwendig. Es kann natürlich das Leben erleichtern, aber es ist oft gar nicht so einfach derartige Zertifikate zu bekommen.
Zudem gibt es immer mehr Anbieter, die interne Namen nicht mehr akzeptieren - http://support.godaddy.com/help/article/6935/using-intranet-and-reserve ...

Eine "saubere" Konfiguration führen z.B. die Assistenten des SBS 2008 / SBS 2011 durch face-wink

LG Günther
wuggale
wuggale 27.10.2012 aktualisiert um 22:07:29 Uhr
Goto Top
So habs hin bekommen, war total einfach, einfach bei Ex2010 den Zertifikatsassistent ausführen und schon kann man alles eintragen was man will, alle Domains sowohl intern als extern.

Gruss und Danke für die Hilfe
Thomas