geforce28
Goto Top

Exchange Zertifikat kaufen

Hallo Leute.

Ich habe mich entschlossen für meinen privaten Exchange Server ein Zertifikat zu kaufen!
Im Zertifikat soll sowohl der interne, als auch der externe Domain Name stehen!

Gibt es einen Anbieter der günstig ist und das anbietet?

Ich freue mich auf eure Vorschläge!

Content-ID: 268459

Url: https://administrator.de/forum/exchange-zertifikat-kaufen-268459.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

fognet
fognet 06.04.2015 um 17:21:13 Uhr
Goto Top
Hi
Ich hab keine Erfahrung damit, aber das ist nicht Billig...
https://icertificate.eu/de/ssl/anwendungsbereiche/ssl-fuer-exchange-serv ...

StartSSL (https://www.startssl.com/?app=0) bietet vielleicht das auch Gratis an.


LG PPR
keine-ahnung
keine-ahnung 06.04.2015 um 17:22:08 Uhr
Goto Top
Moin,
haben wir hier auch schon schockweise besprochen --> nennt sich multidomain- oder wildcard-Zertifikat.

Preissuche gelingt jetzt mit der Suchmaschine Deiner Wahl,

LG, Thomas
Dani
Dani 06.04.2015 aktualisiert um 17:27:14 Uhr
Goto Top
Moin,
Im Zertifikat soll sowohl der interne, als auch der externe Domain Name stehen!
Kannst du ab dem 31.10.2015 vergessen. Ab da stellt kein Anbieter Zertifikate aus, welche .local, .lan o.ä. beinhalten sollen.
Klar kannst du jetzt noch welches kaufen, das 1-2 Jahre gültig ist. Aber die genannte Problematik holt sich früher oder später ein.


Gruß,
Dani
geforce28
geforce28 06.04.2015 um 18:21:24 Uhr
Goto Top
Ja aber wie löst ihr so ein Problem dann?
Nur ein Zertifikat für extern ausstellen und alles über den externen Weg laufen lassen?
(Auch das was eig intern gehen würde??€
Dani
Dani 06.04.2015 aktualisiert um 18:42:35 Uhr
Goto Top
Ja aber wie löst ihr so ein Problem dann?
Wir haben unseren Forest komplett von Microsoft Engineers umbenennen lassen. Kostet aber viel Zeit, Nerven und Geld. War bei uns mit den gegebenen Eigenheiten die einzigste Lösung.

In deinem Fall würde ich auf Split-DNS setzen. Leicht verständlich und einfach umzusetzen.


Gruß,
Dani
vBurak
vBurak 06.04.2015 aktualisiert um 19:08:57 Uhr
Goto Top
_Einen_ einzigen Namen verwenden,und zwar den externen Namen! Dein Server hat nach wie vor als Hostname deinen internen Namen, aber die ganzen Exchange Dienste laufen intern sowie extern über deinen externen Namen. So steht das meines Wissens auch in dem Bereitstellungs Guide von Exchange im TechNet.

Im lokalen DNS wird dann der externe Name auf die interne IP verwiesen.


https://technet.microsoft.com/de-de/exdeploy2013/Checklist?state=2419-W- ...

Split-DNS ist ein Konzept, das Ihnen das Konfigurieren unterschiedlicher IP-Adressen für denselben Hostnamen ermöglicht – abhängig davon, woher die ursprüngliche DNS-Anforderung stammt. Diese Technologie wird auch als Split-Horizon-DNS, Split-View-DNS oder Split-Brain-DNS bezeichnet. Mit Split-DNS können Sie die Anzahl von Hostnamen verringern, die für Exchange verwaltet werden. Dies wird erreicht, indem Sie Ihren Clients – unabhängig davon, ob sie sich über das Internet oder aus dem Intranet verbinden – ermöglichen, über denselben Hostnamen eine Verbindung mit Exchange herzustellen. Split-DNS macht es möglich, dass aus dem Intranet stammende Anforderungen eine andere IP-Adresse erhalten als Anforderungen, die aus dem Internet empfangen werden. Beispielsweise werden externe Internetbenutzer, die "www.contoso.com" besuchen, an die öffentliche Website des Unternehmens weitergeleitet, während Mitarbeiter im Intranet an die private Intranetsite des Unternehmens weitergeleitet werden.
Es empfiehlt sich, Exchange 2013 in einer Split-DNS-Konfiguration bereitzustellen. Abgesehen von der Vereinfachung der Bereitstellung verringert Split-DNS auch die Anzahl von alternativen Antragstellernamen (SANs), die für die SSL-Zertifikate erforderlich sind, die Sie zum Schützen der Verbindungen mit Ihrem Clientzugriffsserver verwenden. Mithilfe der Schritte in dieser Prüfliste können Sie Ihre neue Exchange 2013-Organisation für die Verwendung von Split-DNS konfigurieren. Anschließend können Sie dieselbe URL verwenden, beispielsweise "owa.contoso.com", um über das Internet und Intranet auf Ihren Exchange 2013-Server zuzugreifen.
HinweisAnmerkung:
Der Bereitstellungs-Assistent konfiguriert Ihre Exchange 2013-Bereitstellung so, dass interne und externe Benutzer für den Zugriff auf Ihren Exchange-Server dieselbe URL verwenden können. Falls Sie für Ihre Organisation über ein anderes Adressschema verfügen, können Sie die internen und externen URLs so anpassen, dass sie dem Schema entsprechen.


Für das SSL Zertifikat kann ich dir CertCenter AG (https://www.certcenter.de/) empfehlen. Nach meiner Sicht, reicht das "GeoTrust QuickSSL Premium" Zertifikat vollkommen aus.
rzlbrnft
rzlbrnft 07.04.2015 aktualisiert um 08:33:03 Uhr
Goto Top
Zitat von @geforce28:
Ja aber wie löst ihr so ein Problem dann?
Nur ein Zertifikat für extern ausstellen und alles über den externen Weg laufen lassen?
(Auch das was eig intern gehen würde??€

Ein externes für den SMTP Verkehr nach aussen und mobilen Zugriff, einen Connector der diese FQDN bedient und ein internes selbstsigniertes von der Domain PKI für den ganzen internen Verkehr dort kann man dann mehrere alternative Names eintragen.

Exchange 2007 hat noch gemeckert wenn man den lokalen Connector auf die externe URL verbiegt, beim Einsatz von mehreren Exchange Servern kam es da zu Problemen der Kommunikation untereinander, ob das beim 2013er auch noch so ist weiß ich nicht.

Aber es schadet grundsätzlich nicht auch einen Connector mit internem FQDN zu haben, solange es dafür ein Zertifikat gibt.
geforce28
geforce28 14.04.2015 um 13:17:32 Uhr
Goto Top
So hallo nochmal.

Ich bin eurer Empfelung nachgegangen und habe mir ein Zertifikat bei "https://www.certcenter.de" gekauft.
Hat super geklappt.

Nun habe ich das Zertifikat aktiviert auf dem Exchange und der Browser (Firefox / IE) erkennt die Verbindung auch direkt als "sicher" und "verschlüsselt".

Wenn ich mich nun im OWA (Exchange 2013) einlogge verschwindet nach dem Login das "Schloss" und es steht dort:

"Die Webseite stellt keine Identitätsdaten zur Verfügung.

Die Verbindung zu dieser Webseite ist nicht vollständig sicher, weil sie unverschlüsselte Elemente enthält (z.B. Grafiken) oder die Verschlüsselung ist nicht stark genug."

Ist das normal, dass "nur" der Login komplett verschlüsselt ist ?

Kann das mal jemand bei sich nachvollziehen, ob das dort auch so ist ?
vBurak
vBurak 14.04.2015 um 14:16:45 Uhr
Goto Top
Hallo,

bei mir ist es nach dem Login immer noch verschlüsselt und so sollte es ja auch sein. Sind eventuell nicht alle notwendigen DNS Namen im Zertifikat drin? Sind die DNS Namen auch richtig konfiguriert und stehen die notwendigen auch im Zertifikat als SAN (Subject Alternate Name) drin?

Gruß,

Burak
geforce28
geforce28 14.04.2015 um 14:43:17 Uhr
Goto Top
Welche DNS Namen sollten denn nicht drinstehen ?
Habe nur die Domaine drinstehen "xxx.de"

"xxx.local" geht ja nicht... oder was sollte noch drinstehen ?
geforce28
geforce28 14.04.2015 um 15:23:04 Uhr
Goto Top
Habe jetzt herausgefunden, dass dieser "Fehler" beim Firefox nur kommt, wenn ich eine e-Mail aufmache, welche auf externe html Inhalte verweist...

Ist dann wohl doch alles okay ?
rzlbrnft
rzlbrnft 15.04.2015 aktualisiert um 10:30:00 Uhr
Goto Top
Zitat von @geforce28:

Habe jetzt herausgefunden, dass dieser "Fehler" beim Firefox nur kommt, wenn ich eine e-Mail aufmache, welche auf
externe html Inhalte verweist...

Ist dann wohl doch alles okay ?

Prinzipiell sollte die Domain reichen, unter der dein Mailserver extern erreichbar ist.
Du kannst ja per powershell mal die OWA Seite entfernen und neu erstellen, bzw. dort prüfen ob die interne und externe URL richtig ist, also auf den FQDN des Mailservers zeigt. Normalerweise ist das sowas wie mail.firmenname.de. War jetzt aus deinem Post nicht klar ersichtlich ob du Wildcard nutzt oder den FQDN.
geforce28
geforce28 19.04.2015 um 10:42:51 Uhr
Goto Top
Ne, kein Wildcard, sondern nur die FQDN...

Also mit Subdomains arbeite ich auch garnicht. Gibt keine Subdomains.
Owa ist per xxx.de/owa erreichbar.
intern, als auch extern!

OWA Seite entfernen und neu erstellen, hört sich für mich jetzt etwas "gefährlich" an...
Habe ich auch noch nie gemacht.. Wozu ist das konkret von nöten ? Und wie mache ich das ?
rzlbrnft
rzlbrnft 20.04.2015 aktualisiert um 09:49:37 Uhr
Goto Top
Zitat von @geforce28:

Ne, kein Wildcard, sondern nur die FQDN...

Also mit Subdomains arbeite ich auch garnicht. Gibt keine Subdomains.

Du sagst also der Mailserver ist unter deiner Hauptdomain erreichbar? Hostest du denn deine Firmenhomepage auch intern unter der selben IP?
Die Konstellation hatte ich leider noch nie, daher kann ich dir da keine qualifizierte Aussage treffen.

Owa ist per xxx.de/owa erreichbar.
intern, als auch extern!
OWA Seite entfernen und neu erstellen, hört sich für mich jetzt etwas "gefährlich" an...
Habe ich auch noch nie gemacht.. Wozu ist das konkret von nöten ? Und wie mache ich das ?

Dafür gibt es Powershell Commandlets, die findet man auf google etliche Anleitungen.
Such mal nach Remove-OwaVirtualDirectory und New-OwaVirtualDirectory.
Der Server macht das bei der Installation der CAS-Rolle automatisch, das ist hilfreich wenn man FQDNs ändert oder versehentlich die SSL-Settings im IIS verdreht hat.
geforce28
geforce28 22.04.2015 um 10:54:48 Uhr
Goto Top
Ja, sowohl die Firmenhomepage als auch der Exchange ist unter der selben public IP erreichbar ... !

Das mit dem Remove-OwaVirtualDirectory und New-OwaVirtualDirectory ist ja sehr simpel, will ich aber nicht machen, wenn es nicht unbedingt nötig ist.

CertCenter hat einen sehr guten und, wie ich finde kompetenten Support und die sagen, das wäre normal, dass wenn e-Mails gelanden werden, mit externem HTML Inhalt, dass dort dann so ein "Fehler" kommt...

Jetzt weiß ich nicht so recht, ob ich dem glauben schenken sollte oder nicht ?!