Exchange, Reverseproxy mit Lets Encrypt Zertifikat: Best Practice
Hallo Exchangeadmins,
wir haben nen Exchange 2013 mit Reverseproxy auf Squid-Basis im Einsatz.
Bisher haben wir ein gekauftes Zertifikat (gleiches Zertifikat für beide) verwendet. Da dies demnächst ausläuft wollen wir auf ein kostenloses Let's Encrypt Zertifikat umstellen.
Hierzu hätte ich folgende Fragen, da ich noch nicht genau weiß wie man - vorallem das automatische Verlängern des Zertifikats - zuverlässig abbildet:
1.) Mir ist ehrlich gesagt nicht 100%ig klar, ob Exchange und Reverseproxy das gleiche Zertifikat verwenden müssen, oder ob es auch mit Unterschiedlichen geht?
Da ich meine im Hinterkopf zu haben, dass der Reverseproxy die Anfragen einfach 1:1 an den Exchange weiterleitet und nicht erst entschüsselt und wieder verschlüsselt braucht es wahrscheinlich das gleiche Zertifikat.
2.) Kann ich den Ausstellungs und Renewalprozess von Let's Encrypt öfters durchführen? Hintergrund der Frage ist, dass ich für diesen Fall separat jeweils vom Exchangserver aus und vom Reverseproxy aus das Zertifikat bzw. den Renewalprozess starten würde. Da ich davon ausgehe, dass jede Anfrage zu einem neuen Zertifikat führen würde und beide Server das gleiche Zertifikat benötigen (siehe 1.) ) wahrscheinlich keine funktionierende Lösung...
3.) Wäre eine mögliche Lösung den Renewalprozess des Zertifikat auf dem Reverseproxy durchführen und das erhaltene Zertifikat irgendwie (z.B. SMB Share) automatisiert auf den Exchange kopieren und hier das Skript zum Austauschen starten? Dieser Weg erscheint mir aber als fehleranfällig und unzuverlässig. Jedoch müsste ich nicht noch einen Port (80) für die Außenwelt aufmachen...
Wie habt ihr o.g. Problem in der Praxis zuverlässig gelöst?
Vielen Dank für Eure Hinweise,
Malungo
wir haben nen Exchange 2013 mit Reverseproxy auf Squid-Basis im Einsatz.
Bisher haben wir ein gekauftes Zertifikat (gleiches Zertifikat für beide) verwendet. Da dies demnächst ausläuft wollen wir auf ein kostenloses Let's Encrypt Zertifikat umstellen.
Hierzu hätte ich folgende Fragen, da ich noch nicht genau weiß wie man - vorallem das automatische Verlängern des Zertifikats - zuverlässig abbildet:
1.) Mir ist ehrlich gesagt nicht 100%ig klar, ob Exchange und Reverseproxy das gleiche Zertifikat verwenden müssen, oder ob es auch mit Unterschiedlichen geht?
Da ich meine im Hinterkopf zu haben, dass der Reverseproxy die Anfragen einfach 1:1 an den Exchange weiterleitet und nicht erst entschüsselt und wieder verschlüsselt braucht es wahrscheinlich das gleiche Zertifikat.
2.) Kann ich den Ausstellungs und Renewalprozess von Let's Encrypt öfters durchführen? Hintergrund der Frage ist, dass ich für diesen Fall separat jeweils vom Exchangserver aus und vom Reverseproxy aus das Zertifikat bzw. den Renewalprozess starten würde. Da ich davon ausgehe, dass jede Anfrage zu einem neuen Zertifikat führen würde und beide Server das gleiche Zertifikat benötigen (siehe 1.) ) wahrscheinlich keine funktionierende Lösung...
3.) Wäre eine mögliche Lösung den Renewalprozess des Zertifikat auf dem Reverseproxy durchführen und das erhaltene Zertifikat irgendwie (z.B. SMB Share) automatisiert auf den Exchange kopieren und hier das Skript zum Austauschen starten? Dieser Weg erscheint mir aber als fehleranfällig und unzuverlässig. Jedoch müsste ich nicht noch einen Port (80) für die Außenwelt aufmachen...
Wie habt ihr o.g. Problem in der Praxis zuverlässig gelöst?
Vielen Dank für Eure Hinweise,
Malungo
Please also mark the comments that contributed to the solution of the article
Content-ID: 505363
Url: https://administrator.de/contentid/505363
Printed on: December 10, 2024 at 07:12 o'clock
14 Comments
Latest comment
Was heisst sehr klein? Ich höre auch von 50 Mann Firmen, dass Sie "sehr klein" sind.
Grundsätzlich empfehle ich immer eine UTM (natürlich ordentlich eingerichtet, sonst ist der Router auch nicht schlechter...)
Und auch per Activesync hängt der Exchange irgendwie "echt" im Netz, schon wegen SMTP/S etc.
Grundsätzlich empfehle ich immer eine UTM (natürlich ordentlich eingerichtet, sonst ist der Router auch nicht schlechter...)
Und auch per Activesync hängt der Exchange irgendwie "echt" im Netz, schon wegen SMTP/S etc.
Hallo Malungo,
das kannst du durchaus so praktizieren, allerdings würde ich den Renew auf dem R-Proxy durchführen und dann per Skript das neue Zertifikat an den Exchange übertragen und einbinden lassen. Habe neulich versucht mit dem Certbot das ganze direkt am Exchange zu automatisieren, aber das ist alles andere als "intuitiv" und hat im Endeffekt nie richtig funktioniert.
edit: Mit UTM von Sophos etc habe ich persönlich keine guten Erfahrungen, da die zum Teil doch die Internetverbindung ausbremsen und sich bei den Clients tief im System verankern. Hatte neulich den Fall das eine UTM abgeraucht ist und ersetzt wurde. Die Client-Software lies sich nur mit großer Mühe wieder entfernen, weil die unbedingt vor/während der Deinstallation mit der - nicht mehr vorhandenen - UTM quatschen wollte.
Grüße
bloody
das kannst du durchaus so praktizieren, allerdings würde ich den Renew auf dem R-Proxy durchführen und dann per Skript das neue Zertifikat an den Exchange übertragen und einbinden lassen. Habe neulich versucht mit dem Certbot das ganze direkt am Exchange zu automatisieren, aber das ist alles andere als "intuitiv" und hat im Endeffekt nie richtig funktioniert.
edit: Mit UTM von Sophos etc habe ich persönlich keine guten Erfahrungen, da die zum Teil doch die Internetverbindung ausbremsen und sich bei den Clients tief im System verankern. Hatte neulich den Fall das eine UTM abgeraucht ist und ersetzt wurde. Die Client-Software lies sich nur mit großer Mühe wieder entfernen, weil die unbedingt vor/während der Deinstallation mit der - nicht mehr vorhandenen - UTM quatschen wollte.
Grüße
bloody
Will mich hier nicht verteidigen oder drüber diskutieren, aber bitte spar dir doch solche vorurteilsgespickten Anfeindungen: Ich nehme davon gar nichts. Wir wurden als Helfer in der Not gerufen, weil der vorherige 1-Mann-Admin plötzlich nicht mehr erreichbar war. Ich habe nur von einem RL-Beispiel berichtet.
Zitat von @bloodstix:
Will mich hier nicht verteidigen oder drüber diskutieren, aber bitte spar dir doch solche vorurteilsgespickten Anfeindungen: Ich nehme davon gar nichts. Wir wurden als Helfer in der Not gerufen, weil der vorherige 1-Mann-Admin plötzlich nicht mehr erreichbar war. Ich habe nur von einem RL-Beispiel berichtet.
Will mich hier nicht verteidigen oder drüber diskutieren, aber bitte spar dir doch solche vorurteilsgespickten Anfeindungen: Ich nehme davon gar nichts. Wir wurden als Helfer in der Not gerufen, weil der vorherige 1-Mann-Admin plötzlich nicht mehr erreichbar war. Ich habe nur von einem RL-Beispiel berichtet.
Dann darfst du dich auch gerne nicht angesprochen fühlen. Was habt ihr denn im Einsatz?
Nebenbei, klar, wenn die UTM alle Funktionen anbietet und zu schwach dimensioniert wurde bremst die natürlich auch...
Moin,
Muss er nicht, wenn du intern und extern unterschiedliche TLDs bzw. DNS-Adressen für Autodiscover, ECP, EWS, etc... nutzt.
Der Reverse Proxy reicht die Anfragen selbstverständlich weiter, sonst wird's mit dem Zugriff schwer.
Gruß,
Dani
1.) Mir ist ehrlich gesagt nicht 100%ig klar, ob Exchange und Reverseproxy das gleiche Zertifikat verwenden müssen, oder ob es auch mit Unterschiedlichen geht?
Da ich meine im Hinterkopf zu haben, dass der Reverseproxy die Anfragen einfach 1:1 an den Exchange weiterleitet und nicht erst entschüsselt und wieder verschlüsselt braucht es wahrscheinlich das gleiche Zertifikat.Muss er nicht, wenn du intern und extern unterschiedliche TLDs bzw. DNS-Adressen für Autodiscover, ECP, EWS, etc... nutzt.
Der Reverse Proxy reicht die Anfragen selbstverständlich weiter, sonst wird's mit dem Zugriff schwer.
2.) Kann ich den Ausstellungs und Renewalprozess von Let's Encrypt öfters durchführen? Hintergrund der Frage ist, dass ich für diesen Fall separat jeweils vom Exchangserver aus und vom Reverseproxy aus das Zertifikat bzw. den Renewalprozess starten würde. Da ich davon ausgehe, dass jede Anfrage zu einem neuen Zertifikat führen würde und beide Server das gleiche Zertifikat benötigen (siehe 1.) ) wahrscheinlich keine funktionierende Lösung...
Da kann ich dir leider nicht folgen. Es gibt seitens Let's Encrypt natürlich Einschränken - siehe hier.3.) Wäre eine mögliche Lösung den Renewalprozess des Zertifikat auf dem Reverseproxy durchführen und das erhaltene Zertifikat irgendwie (z.B. SMB Share) automatisiert auf den Exchange kopieren und hier das Skript zum Austauschen starten? Dieser Weg erscheint mir aber als fehleranfällig und unzuverlässig. Jedoch müsste ich nicht noch einen Port (80) für die Außenwelt aufmachen...
Kann man machen, ist aber wahrscheinlich fehleranfällig. Neben der Validierung über das Verzeichnis ".well-known" ist es auch über einen TXT-Eintrag in der DNS-Zone der TLD möglich. D.h. du musst den Server nur ausgehend Zugriff auf LE geben. Kann man mit Hilfe von Appliaction Control auf einigen Firewalls sehr restriktiv konfigurieren.Gruß,
Dani