3
Exchange Server 2019 + Reverse-Proxy - Zertifikate
Hallo Zusammen,
nun ist es soweit, das Reverse Proxy Zertfikat (self signed) ist ausgelaufen.
In der Zertifikate-Thematik bin ich leider nicht so ganz fit, ich möchte es aber sehr gerne lernen und würde mich freuen das aufgrund eures Inputs tun zu können.
Der Proxy läuft hier auf der Firewall, der Exchange Server 2019 auf einem Windows Server 2019.
Beide (Proxy und Exchange Server) haben ein self-signed-Certificate.
Das für den Proxy hat die Firewall Barracuda F80 ausgestellt, das für den Exchange Server der Exchange selbst.
Nun meine ich mich noch zu erinnern dass aufgrund der eingeführten Exchange Extended Protection sämtliche Instanzen das gleiche Zertifikat nutzen müssen.
Ich hatte nun einfach ein neues Proxy-Cert von der Firewall ausstellen lassen und dieses dem Proxy zugewiesen.
(Sogesehen habe ich nun immer noch zwei verschiedene Zertifikate im Einsatz.)
Generell kann ich so gut wie alle Dienste nutzen.
Ich komme von extern wie intern aufs OWA (klar mit Zertifikatswarnung weil nicht öffentlich), Mails über Outlook auf den Workstations kommen an und gehen raus.
Ich kann übers Smartphone Mails per GMail abrufen wobei ich bei der Einrichtung SSL/TLS (alle Zertifikate) auswählen musste, vermutlich weil self-signed und kein öffentliches?
Was ich feststellen konnte ist dass wenn ich mein Konto am Smartphone über die Outlook App einbinden möchte, das nicht mehr funktioniert.
Ich hatte es mal eingebunden gehabt, hatte dann allerdings aufgrund Troubleshootings weil ich ein Konto vom Kollegen nicht einbinden konnte gelöscht um meins nochmal neu einzubinden.
Seitdem konnte ich mein eigenes auch nicht mehr einbinden.
Die Frage hier: Funktionierts seit Einführung der Extended Protection nicht mehr oder ist was anderes Schuld?
Das Problem ließ sich aber mit Nutzung der GMail-App umgehen, somit geriet das für mich erstmal in Hintergrund.
Zwei Kollegen hier haben ihres allerdings noch mit der Outlook App auf deren iPhone eingebunden das funktioniert bei denen auch noch.
Meine Fragen also generell:
Wenn ich nun ein gemeinsames Zertifikat für Proxy und Exchange generieren möchte, dann muss ich darauf achten dass ich sämtliche Hostnamen dort aufführe?
Als Beispiel: Ich stelle es auf der Firewall auf "mail.firma.de" (so ist OWA erreichbar) aus, setze noch DNS: mail.firma.de und DNS: internerExchange.firma.de in den SAN, weise es dem Proxy zu und importiere es in den Exchange, weise es den jeweiligen Diensten zu und verteile es per GPOs an die Clients? Benötigen dann beide Zertifikats-Einbindungen auch den Private-Key?
Falls dem so ist würde sich damit auch die Outlook-App-Problematik lösen oder verlangt Microsoft hier tatsächlich ein öffentliches Zertifikat für die Einbindung der Konten?
Vielen Dank für eure Hilfe und Ratschläge
nun ist es soweit, das Reverse Proxy Zertfikat (self signed) ist ausgelaufen.
In der Zertifikate-Thematik bin ich leider nicht so ganz fit, ich möchte es aber sehr gerne lernen und würde mich freuen das aufgrund eures Inputs tun zu können.
Der Proxy läuft hier auf der Firewall, der Exchange Server 2019 auf einem Windows Server 2019.
Beide (Proxy und Exchange Server) haben ein self-signed-Certificate.
Das für den Proxy hat die Firewall Barracuda F80 ausgestellt, das für den Exchange Server der Exchange selbst.
Nun meine ich mich noch zu erinnern dass aufgrund der eingeführten Exchange Extended Protection sämtliche Instanzen das gleiche Zertifikat nutzen müssen.
Ich hatte nun einfach ein neues Proxy-Cert von der Firewall ausstellen lassen und dieses dem Proxy zugewiesen.
(Sogesehen habe ich nun immer noch zwei verschiedene Zertifikate im Einsatz.)
Generell kann ich so gut wie alle Dienste nutzen.
Ich komme von extern wie intern aufs OWA (klar mit Zertifikatswarnung weil nicht öffentlich), Mails über Outlook auf den Workstations kommen an und gehen raus.
Ich kann übers Smartphone Mails per GMail abrufen wobei ich bei der Einrichtung SSL/TLS (alle Zertifikate) auswählen musste, vermutlich weil self-signed und kein öffentliches?
Was ich feststellen konnte ist dass wenn ich mein Konto am Smartphone über die Outlook App einbinden möchte, das nicht mehr funktioniert.
Ich hatte es mal eingebunden gehabt, hatte dann allerdings aufgrund Troubleshootings weil ich ein Konto vom Kollegen nicht einbinden konnte gelöscht um meins nochmal neu einzubinden.
Seitdem konnte ich mein eigenes auch nicht mehr einbinden.
Die Frage hier: Funktionierts seit Einführung der Extended Protection nicht mehr oder ist was anderes Schuld?
Das Problem ließ sich aber mit Nutzung der GMail-App umgehen, somit geriet das für mich erstmal in Hintergrund.
Zwei Kollegen hier haben ihres allerdings noch mit der Outlook App auf deren iPhone eingebunden das funktioniert bei denen auch noch.
Meine Fragen also generell:
Wenn ich nun ein gemeinsames Zertifikat für Proxy und Exchange generieren möchte, dann muss ich darauf achten dass ich sämtliche Hostnamen dort aufführe?
Als Beispiel: Ich stelle es auf der Firewall auf "mail.firma.de" (so ist OWA erreichbar) aus, setze noch DNS: mail.firma.de und DNS: internerExchange.firma.de in den SAN, weise es dem Proxy zu und importiere es in den Exchange, weise es den jeweiligen Diensten zu und verteile es per GPOs an die Clients? Benötigen dann beide Zertifikats-Einbindungen auch den Private-Key?
Falls dem so ist würde sich damit auch die Outlook-App-Problematik lösen oder verlangt Microsoft hier tatsächlich ein öffentliches Zertifikat für die Einbindung der Konten?
Vielen Dank für eure Hilfe und Ratschläge
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672044
Url: https://administrator.de/forum/exchange-server-2019-reverse-proxy-zertifikate-672044.html
Ausgedruckt am: 19.03.2025 um 19:03 Uhr
3 Kommentare
Neuester Kommentar
Moin,
wenn proxy und exchange server beide cnames von firma.de sind und ihr ja vermutlich kontrolle über die dns habt, würde ich statt self-signed zertifikaten, zertifikate von lets encrypt nehmen und über dns-01 challenge generieren, dann gibts auch keine probleme mit den iphones. Für den exchange kann ich als tool win-acme www.win-acme.com/ empfehlen um die zertifikate zu erzeugen und einzubinden.
wenn proxy und exchange server beide cnames von firma.de sind und ihr ja vermutlich kontrolle über die dns habt, würde ich statt self-signed zertifikaten, zertifikate von lets encrypt nehmen und über dns-01 challenge generieren, dann gibts auch keine probleme mit den iphones. Für den exchange kann ich als tool win-acme www.win-acme.com/ empfehlen um die zertifikate zu erzeugen und einzubinden.
1
Moin,
alternativ kaufe Dir ein 1-Jahres-Zertifikat (das Du dann an allen erforderlichen Stellen (also mehrfach) importierst) und aktualisiere 1x jährlich, wenn die automatische Erneuerung über ACME Clients nicht funktioniert oder Dir zu kompliziert ist. Hier ein Preisvergleich.
Von self signed in Verbindung mit Mailserver kann man nur abraten. Da machen vor allem mobile Clients oft Probleme, iPhones ohne Drittsoftware mögen das schon mal gar nicht. Und das Herumhantieren mit importierten Zertifikaten der eigenen Zertifizierungsstelle auf allen Clients funktioniert zwar, ist in Anbetracht der Preise für SSL Zertifikate aber total unwirtschaftlich.
Gruß
DivideByZero
alternativ kaufe Dir ein 1-Jahres-Zertifikat (das Du dann an allen erforderlichen Stellen (also mehrfach) importierst) und aktualisiere 1x jährlich, wenn die automatische Erneuerung über ACME Clients nicht funktioniert oder Dir zu kompliziert ist. Hier ein Preisvergleich.
Von self signed in Verbindung mit Mailserver kann man nur abraten. Da machen vor allem mobile Clients oft Probleme, iPhones ohne Drittsoftware mögen das schon mal gar nicht. Und das Herumhantieren mit importierten Zertifikaten der eigenen Zertifizierungsstelle auf allen Clients funktioniert zwar, ist in Anbetracht der Preise für SSL Zertifikate aber total unwirtschaftlich.
Gruß
DivideByZero
1
Zitat von @DivideByZero:
Moin,
alternativ kaufe Dir ein 1-Jahres-Zertifikat (das Du dann an allen erforderlichen Stellen (also mehrfach) importierst) und aktualisiere 1x jährlich, wenn die automatische Erneuerung über ACME Clients nicht funktioniert oder Dir zu kompliziert ist. Hier ein Preisvergleich.
Super vielen Dank, wodurch kommen dort die Preisunterschiede zustande?Moin,
alternativ kaufe Dir ein 1-Jahres-Zertifikat (das Du dann an allen erforderlichen Stellen (also mehrfach) importierst) und aktualisiere 1x jährlich, wenn die automatische Erneuerung über ACME Clients nicht funktioniert oder Dir zu kompliziert ist. Hier ein Preisvergleich.
Also aufgrund von Einzeldomain, Multi-Domain, Wildcard könnte ich mir denken.
Wenn ich nun allerdings explizit auf Multi-Domain schaue gibts da eines für 19,00 wie auch für 99,00 Euro?
Liegt das am Zertifizierer?
Was sind die Validierungsarten?
(Domain, Organisation)
Ich bräuchte dann ja Multi-Domain, richtig?
Für den Proxy, für das Mail-Gateway dann ja auch (hier nutze ich das Promox Mail Gateway) und für den Exchange selbst.
Und die ganzen Hostnamen klatsche ich dann alle in SAN?
Und das Zertifikat kauf ich dann einmal und kann das parallel in alle Systeme die in SAN stehen einbinden?
