joeyschweiz
Goto Top

Frage zu Zertifikaten im Exchange 2010 - Welches Zertifikat, Einbindung und Verteilung

Guten Morgen liebe Admins.

Ich muss mich jetzt dringend mit dem Thema Zertifikate im Exchange beschäftigen und hätte da einige Fragen zum Verständnis und der Umsetzung.
Es würde mich freuen, wenn mir hier jemand auf die Sprünge helfen kann.

Zur Situation, wir haben einen Exchange 2010 Server auf einem SB 2011 Standard beim Kunden im Einsatz. Als der Server eingerichtet wurde, gab es 7 Benutzer. In der Zwischenzeit sind es fast 50 die via. Smartphone, Tablet oder Notebook ihre Mails abrufen.

Ursprünglich wurde ein selbstsigniertes Zertifikat ausgestellt, dass in naher Zukunft abläuft.
Hier schon die erste Frage: Wenn ich das Zertifikat verlängere, muss es doch wieder auf alle Clients verteilt werden - richtig?
Innerhalb der Domain ja weniger ein Problem - auf allen anderen Geräten "BringYourOwnDevice" muss es aber installiert/verteilt werden?

Ich würde gerne ein Zertifikat kaufen, schon alleine um die Laufzeit zu erhöhen (verlängern geht soweit ich weiss nur 2 Jahre?)

Kann mir jemand ein Zertifikat empfehlen? Es war in einem alten Beitrag die Rede von godaddy /Multidomain Zertifikat, leider finde ich mich auf der Seite nicht wirklich zurecht.
Ist etwas schwierig, wenn man nicht 100% weiss wonach man eigentlich schaut.


Ein paar Infos rund um den "Kunden"

Externe Domain www.LangerKundenName.com
Interne Domain LKN.local (nur die Initialien)
Mailserver erreichbar unter der Adresse: mail.langerkundenname.com und auch remote.lengerkundenname.com

Das Zeritfikat muss also Multidomain unterstützen.


Wenn ich ein Zertifikat kaufe - muss es dann genauso verteilt werden wie ein selbstsigniertes?
Wenn weitere Details gebraucht werden, bitte gerne nachfragen.

Ich habe bereits zwei (eigentlich gute Admins) gefragt und die Antworten "Ich ahsse Zertifikate" waren nahezu gleich face-smile


Freue mich auf Eure Ratschläge und Hilfe.

Gruss
joey

Content-ID: 266162

Url: https://administrator.de/contentid/266162

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

BBfreak
Lösung BBfreak 13.03.2015, aktualisiert am 31.03.2015 um 08:04:27 Uhr
Goto Top
Hallo Joey,

wenn es eigentlich gute Admins waren, dann mögen Sie Dich wohl nicht oder wissen, dass das nen größerer Aufwand ist als mal eben vier Klicks. ;)

Also ein eigenes Zertifikat kannst Du jederzeit am Server anlegen und auch die Laufzeit selbst bestimmen. Clients müssen diese nicht zwingend installiert haben. Die Clients melden dann halt, dass da ein Zertifikat ist dem Sie erstmal nicht vertrauen. Dann kommt die Dir bestimmt bekannte Zertifikats-Warnung die man aber an jedem Client auch einmalig zustimmen kann. Ist halt nicht die sauberste Lösung. Grad Apple bockt da gern etwas.

Wenn Du dein Zertifikat auf den Clients installierst, vertrauen Die dem Server direkt weil das Zertifikat ja bekannt ist: Keine Warnung.

Ein externes Zertifikat auf Deinen Namen wird mit einem Zertifikat eines Anbieters verknüpft, der wiederum meist mit einer Über-Zertifikats-Stelle verknüpft ist. So wird eine Vertrauenshierarchie aufgebaut. Diese großen Zertifikats-Herausgeber sind in allen Geräten integriert und werden durch Updates gepflegt. Windows-Updates z.B. oder iOS-Updates. Daher vertraut dein iPhone deinem gekauftem Zertifikat weil er dem Herausgeber oder ggf. dem Herausgeber des Herausgebers vertraut.

Ein *.langerkundenname.com -Zertifikat ist recht teuer und vermutlich überdimonisiert (Kostet 10~15 mal soviel wie eine Einzeldomain).

Ich würde nur mail.langerkundenname.com kaufen und den Usern sagen, sie mögen im Browser und Handy etc. bitte nur mail. nutzen und nicht remote. Wer Remote nutzt bekommt halt die Warnung, aber kann es ja dennoch nutzen.GGf, auch im DNS ne Weiterleitung permanent von remote an mail. umstellen.

Anbieter gibt es viele:
https://ssl-trust.com/ 28€

Evtl. auch interessant: https://www.psw.net/ssl-zertifikate.cfm

Wenn Du ein Zertifikat bestellen willst musst Du denen eine Zertifikats-Anfrage schicken. Sieht so ungefähr aus:
BEGIN CERTIFICATE REQUEST-----
MIIDUDCCArkCAQAwdTEWMAQAwdTEWMAQAwdTEWMAQAwdTEWMAQAwdTEWMAQA
AQAwdTEWMAQAwdTEWMAQAwdTEWMAQAwdTEWMAQAwdTEWMAQAwdTEWMAQAw
...
END CERTIFICATE REQUEST-----

Musst du glaub ich im IIS-Manager machen. Gibt es aber genug Anleitungen mit Bilchen unter Google. Du stellst ne Anfrage, die schicken Dir das Zertifikat mit der Antwort. Zertifikat im IIS registrieren. Exchange sagen, er soll mit mail.domain.de als ext. Adresse arbeiten... Fertig.

Ist nicht mal so eben gemacht. Daher für Nicht-Profis: Ruhig direkt eine Laufzeit von 4 Jahren wählen. Dann muss man den Mist nicht jedes Jahr aufs neue machen. Das Zertifikat könnte man auf einen neuen Mailserver mal migriert werden.

Hoffe, dass ich da etwas Licht ins Dunkle bringen konnte.

Gruß
BBfreak
joeyschweiz
joeyschweiz 16.03.2015 um 11:03:22 Uhr
Goto Top
Hallo BBfreak,

ich habe mir schon gedacht, es wird nicht mal eben schnell gehen.
Aber nochmal zum Verständnis, ein gekauftes muss ich nicht manuell verteilen oder?
Am Client akzeptieren wäre ja ok.

Ich bin etwas im Stress Anfang dieser Woche aber dann werde ich mir die Zeit nehmen und mich genauer reinlesen.

Vielen Dank erstmal.

Grüsse
Joey
BBfreak
BBfreak 16.03.2015 um 11:11:53 Uhr
Goto Top
Hallo Joey,

richtig: ein gekauftes musst Du nicht verteilen. Ein gekauftes bringt auch keine Warnung, weil die Clients dem Zertifikat vertrauen.

Zur Logik: Ein selbst erstelltes Zertifikat ist den Clients suspekt und die melden dann eine Warnung. Wenn Du das Zertifikat an die Clients aber zuvor verteilst, kommt auch keine Warnung ... weil die Clients das Zertifikat ja kennen.

Gruß
BB
joeyschweiz
joeyschweiz 26.04.2015 um 12:36:29 Uhr
Goto Top
Thema ist gelöst.
Ein gekauftes Zertifikat wurde installiert und alles gut.
Wieder ein Schritt mehr gelernt im Bereich Zertifikate.
Danke für die Unterstützung.

Joey