jimpiet
Goto Top

Exchange 2010: Zertifikat ohne Hostname des Servers

Moin,

unser Exchange steht in einer .local-Domäne und unsere Zertifizierungsstelle unterstützt ab Oktober keine .local-Domains mehr.
Also wollte ich jetzt schonmal das Zertifikat austauschen.

Meines Erachtens nach ist das Zertifikat ja nur für OWA und da OWA bei uns einen extra DNS-Namen hat, um über das Internet zuzugreufen, wäre es ja kein Problem, den .local-Namen einfach wegzulassen.
Sehe ich das so richtig oder muss der Hostname zwingend mit im Zertifikat enthalten sein?

Gruß
Jimpiet

Content-ID: 263670

Url: https://administrator.de/contentid/263670

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

Dani
Dani 17.02.2015 um 12:39:56 Uhr
Goto Top
Hallo @JimPiet,
denk daran, dass Outlook 2010 und aufwärts mit dem Exchange-Server ebenfalls über HTTPs kommuniziert. Wenn du nun. *.local weglässt würde ich behaupten, dass deine Outlook-Clients eine hübsche Warnung jedes Mal anzeigen. face-smile Sieht man übrigens sehr gut bei einem E-Mail Autokonfigurationstest.


Gruß,
Dani
JimPiet
JimPiet 17.02.2015 aktualisiert um 13:44:41 Uhr
Goto Top
Moin @Dani,
ich kann ja in der EMC mehrere Zertifikate importieren und auch mehrere Dienste zuweisen.

Würde das funktionieren, zwei Zertifikaten die gleichen Dienste zuzuweisen?
Ich könnte aber ja auch das Autodiscover anpassen, so dass der .local-Name dort nicht mehr ausgeliefert wird, oder?


Das Problem ist leider, dass wir so einfach/schnell nicht von .local zu einer TLD kommen.


Gruß
Jimpiet
Dani
Lösung Dani 17.02.2015, aktualisiert am 25.02.2015 um 16:19:04 Uhr
Goto Top
Würde das funktionieren, zwei Zertifikaten die gleichen Dienste zuzuweisen?
Kann ich dir leider nicht sagen. Wir nutzen x.z.de als Domäne.

Ich könnte aber ja auch das Autodiscover anpassen, so dass der .local-Name dort nicht mehr ausgeliefert wird, oder?
Es gibt zwei Wege:
a) Der Client kann die externe Adresse über eure Firewwall erreichen. Das führt dazu, dass die Verbindung immer über die Firewall führt (Mehrbelastung)
b) Einen Split-DNS einrichten. Kann aber zu einem administrativen Mehraufwand führen.


Gruß,
Dani
JimPiet
JimPiet 18.02.2015 um 09:44:38 Uhr
Goto Top
Moin,

Split-DNS wird bei uns schon eingesetzt. Als das AD aufgebaut wurde, war ich hier noch nicht angestellt. Somit würden die Clients intern nicht über die Firewall gehen.
Dann werde ich das mal ausprobieren, die interne URL auch auf .de zu setzen.
JimPiet
JimPiet 25.02.2015 um 16:21:04 Uhr
Goto Top
Habe gestern die internen URLs auf .de umgestellt. Alle neuen Clients kann ich nun über die Externe URL anschließen, dort kommt auch keine Zertifikatsmeldung. Bei den vorhandenen kam natürlich die Zertifikat-Meldung.