tobitech
Goto Top

Exchange 2019 Zertifikate

Hallo zusammen,

Wir haben hier seit ein paar Wochen einen neuen Exchange 2019 am Laufen, aktuell noch im Test-System.
Nun wollen wir diesen live bringen und benötigen hierfür ein Zertifikat für OWA etc.

Jetzt ist meine Frage: Welches Zertifikat macht heute noch Sinn?
Ist ein Multi-Domain/SAN-Zertifikat noch aktuell oder kann man ein Wildcard-Zertifikat von z. B. RapidSSL/GeoTrust einsetzen?

Clients sind in der Regel Office 2013-2019/365, iOS-Native & Android-Native.

Das Zertifikat soll eben für Outlook im Web und den Autodiscover/Autoconfig-Eintrag genutzt werden.

Vielen Dank im Voraus,
Tobi

Content-ID: 491019

Url: https://administrator.de/forum/exchange-2019-zertifikate-491019.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

spec1re
spec1re 02.09.2019 um 09:12:18 Uhr
Goto Top
Moin,

SAN Zertifikate machen sinn, wenn man mehrere Domains hostet, wenn du aber nur eine Domain hast einfach ein Wildcard-Zertifikat erstellen.

https://www.frankysweb.de/neue-version-des-exchange-zertifikatsassistent ...

Einmal einrichten und das Thema Zertifikate ist Geschichte.

Gruß Spec.
tobitech
tobitech 02.09.2019 um 09:17:41 Uhr
Goto Top
Moin Spec,

Vielen Dank für den Tipp.
Wir haben auf dem selben Exchange noch zwei weitere Domains (einmal eine .de und eine .com), die prinzipiell mit der Hauptdomain nichts zu tun haben. Beide haben aber nur ein bis maximal zwei Postfächer und werden nur intern im Outlook genutzt.
Würde da dann SAN mehr Sinn machen?

Viele Grüße,
Tobi
spec1re
Lösung spec1re 02.09.2019 aktualisiert um 09:34:30 Uhr
Goto Top
Wenn du es möglichst einfach halten möchtest, ja. z.B.:
mail.hauptdomain.de
autodiscover.hauptdomain.de

mail.nebendomain1.de
autodiscover.nebendomain1.de

mail.nebendomain2.com
autodiscover.nebendomain2.com
Mit einer Domain würde das so aussehen:
*.hauptdomain.de

Mit dem Zertifikatsassistent für Let’s Encrypt, kannst du das aber jeder zeit anpassen, je nach bedarf.

Gruß Spec.
tobitech
tobitech 02.09.2019 aktualisiert um 09:55:53 Uhr
Goto Top
Für die sagen wir mal "nebendomain2.com" wird eigentlich kein Zertifikat mehr benötigt, scheidet demnächst aus.
Jetzt wäre meine Überlegung für "hauptdomain.de" und "nebendomain1.de" jeweils ein Wildcard-Zertifikat zu kaufen.
Zwei Wildcards sind aber meiner Meinung nach recht teuer, vor allem da wir bei der "nebendomain1.de" nur E-Mail nutzen, der Webauftritt hat bereits Let's Encrypt.

Bei https://www.sslmarket.de/ssl/geotrust-true-businessid/ wäre von der Anzahl an Subdomains/Domains auch folgendes möglich?

Beispiel:
outlook.hauptdomain.de
autodiscover.hauptdomain.de

mail.nebendomain1.de
autodiscover.nebendomain1.de

Das sollte dann auch mit dem oben genannten SAN gehen, oder?
spec1re
spec1re 02.09.2019 um 10:05:44 Uhr
Goto Top
Wenn du eh schon Let’s Encrypt im Einsatz hast, wieso dann noch Geld ausgeben für Zertifikate?

Tob dich doch mit Let’s Encrypt in deinem Ex2019 Lab aus, wenn dir was nicht gefällt, einfach ändern und ab dafür.
tobitech
tobitech 02.09.2019 um 10:10:38 Uhr
Goto Top
Die Webauftritte sind automatisiert bei einem Hosting-Anbieter, darum kümmert sich kaum jemand.
Aber gut, probieren wir es mal aus.
spec1re
spec1re 02.09.2019 um 10:21:13 Uhr
Goto Top
Jo mach das, hier ein aktueller Link zum Script mit Anleitung.

https://www.frankysweb.de/exchange-certificate-assistant-neue-version/
tobitech
tobitech 02.09.2019 um 10:54:25 Uhr
Goto Top
Ist es möglich, in dem Zertifikatsassistent mehrere Domains anzugeben? Also hauptdomain + nebendomain1, beide jeweils so:
outlook.hauptdomain.de
autodiscover.hauptdomain.de

mail.nebendomain1.de
autodiscover.nebendomain1.de

Ich habe das jetzt mit der hauptdomain getetestet, da funktioniert es ohne Probleme.
Zertifikat wird auch sofort für IIS, IMAP, POP3 und SMTP festgelegt.

Wie ist das dann mit mehreren Domains?
Sorry für die doofen Fragen. :D
spec1re
Lösung spec1re 02.09.2019 aktualisiert um 11:32:06 Uhr
Goto Top
# If you don't want to let the script automaticaly determine the Exchange 
# Server FQDNs, you can disable this feature and set your own values.
# You have to set $DetermineExchangeFQDNs to $false and specify your own
# DNS Names.

$DetermineExchangeFQDNs = $false

# If you have set $DetermineExchangeFQDNs to $false, you have to specify
# your own FQDNs here. The first FQDN in the list will be used as 
# Common Name (CN). Leave this setting as is it, if you have set 
# $DetermineExchangeFQDNs = $true:

$CustomFQDNs = @("outlook.hauptdomain.de","autodiscover.hauptdomain.de","mail.nebendomain1.de","autodiscover.nebendomain1.de")  

Bei Let’s Encrypt kann man pro Anmeldung, glaube ich bis zu 100 Domains registrieren.

Gruß Spec
tobitech
tobitech 02.09.2019 um 11:36:42 Uhr
Goto Top
Ah, alles klar.
Gut, wer lesen kann ist klar im Vorteil.

Vielen Dank, dann sollte das klappen.

Grüße, Tobi