123106
May 01, 2020, updated at 23:19:51 (UTC)
4568
2
0
Letsencrypt nur für Exchange-Server
Hi,
habe einen Exchange 2013 auf einem Server 2012 R2 und würde gerne weiterhin Letsencrypt-Zertifikate nutzen. Scheint mit ACMEv2 aber nur zu funktionieren, wenn der Exchange von außen mit einer Web-Seite erreichbar ist - mit den Ports 80 und 443. Finde ich merkwürdig, zwecks Sicherheit unsicher zu sein und seinen Server per HTTP ins Netz zu stellen. Jedenfalls habe ich habe keine Web-Seite gepublisht - wüsste auch nicht, wie. Wenn ich diesen Exchange-Server per Browser von extern aufrufe, sehe ich die standardmäßig eingestellte OWA-Seite, die aber nur über HTTPS erreichbar ist.
Gibt es einen für den geneigten Leser zumutbar kurzen Hinweis, wo man da ansetzen könnte? Ohne Ahnung vom IIS? Also wie kann ich eine Web-Seite per Port 80/443 veröffentlichen, damit LE Zertifikate herausrückt? Ich habe bislang mit dem wohl nicht mehr unterstützten ACMEv1 für folgende Domänen ein Zertifikat generiert:
New-ACMEIdentifier -Dns mail.domain.de -Alias $DNS1
New-ACMEIdentifier -Dns domain.eu -Alias $DNS2
New-ACMEIdentifier -Dns domain.de -Alias $DNS3
New-ACMEIdentifier -Dns mail.domain.eu -Alias $DNS4
New-ACMEIdentifier -Dns autodiscover.domain.de -Alias $DNS5
New-ACMEIdentifier -Dns autodiscover.domain.eu -Alias $DNS6
Schon mal danke für einen Tipp, regards
Stefano
habe einen Exchange 2013 auf einem Server 2012 R2 und würde gerne weiterhin Letsencrypt-Zertifikate nutzen. Scheint mit ACMEv2 aber nur zu funktionieren, wenn der Exchange von außen mit einer Web-Seite erreichbar ist - mit den Ports 80 und 443. Finde ich merkwürdig, zwecks Sicherheit unsicher zu sein und seinen Server per HTTP ins Netz zu stellen. Jedenfalls habe ich habe keine Web-Seite gepublisht - wüsste auch nicht, wie. Wenn ich diesen Exchange-Server per Browser von extern aufrufe, sehe ich die standardmäßig eingestellte OWA-Seite, die aber nur über HTTPS erreichbar ist.
Gibt es einen für den geneigten Leser zumutbar kurzen Hinweis, wo man da ansetzen könnte? Ohne Ahnung vom IIS? Also wie kann ich eine Web-Seite per Port 80/443 veröffentlichen, damit LE Zertifikate herausrückt? Ich habe bislang mit dem wohl nicht mehr unterstützten ACMEv1 für folgende Domänen ein Zertifikat generiert:
New-ACMEIdentifier -Dns mail.domain.de -Alias $DNS1
New-ACMEIdentifier -Dns domain.eu -Alias $DNS2
New-ACMEIdentifier -Dns domain.de -Alias $DNS3
New-ACMEIdentifier -Dns mail.domain.eu -Alias $DNS4
New-ACMEIdentifier -Dns autodiscover.domain.de -Alias $DNS5
New-ACMEIdentifier -Dns autodiscover.domain.eu -Alias $DNS6
Schon mal danke für einen Tipp, regards
Stefano
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 569029
Url: https://administrator.de/contentid/569029
Printed on: April 25, 2024 at 14:04 o'clock
2 Comments
Latest comment
Hallo,
erstmal bin ich schockiert das du einen Exchange betreibst. Ich hoffe mal nicht beruflich.
Erst mal da der Exchange von Außen per HTTPS erreichbar ist hast du ja schon eine Webseite "gepublischt". Sprich du müsstest ja nur noch an deiner Firewall den Port 80 analog zum Port 443 freigeben und weiterleiten.
Zum Punkt Sicherheit. Für deinen Server ist da kein Unterschied. Aber die Daten die übertragen werden sind unverschlüsselt. Das ist wieder ne andere Baustelle.
Dann, du hast ja per DNS Authentifizierung das Zertifikat abgerufen. Vermutlich ohne Provider API? Da muss man da ja alle 3 Monate das Manuell machen, das kann's du jetzt automatisieren.
Hier findest du auch ein schönes Script dafür.
https://www.frankysweb.de/
erstmal bin ich schockiert das du einen Exchange betreibst. Ich hoffe mal nicht beruflich.
Erst mal da der Exchange von Außen per HTTPS erreichbar ist hast du ja schon eine Webseite "gepublischt". Sprich du müsstest ja nur noch an deiner Firewall den Port 80 analog zum Port 443 freigeben und weiterleiten.
Zum Punkt Sicherheit. Für deinen Server ist da kein Unterschied. Aber die Daten die übertragen werden sind unverschlüsselt. Das ist wieder ne andere Baustelle.
Dann, du hast ja per DNS Authentifizierung das Zertifikat abgerufen. Vermutlich ohne Provider API? Da muss man da ja alle 3 Monate das Manuell machen, das kann's du jetzt automatisieren.
Hier findest du auch ein schönes Script dafür.
https://www.frankysweb.de/
Hallo Stefano,
Exchange läuft über 443 - Stichwort OWA, MapioverHTTP, ...
https://www.win-acme.com/
Letsencrypt benötigt immer* den Port 80 für die Domainbestätigung: Du behauptest, Du wärst meinedomain.de. Um das zu bestätigen, wird jedes Mal ein neuer Code über http://meinedomain.de/.well-known/acme-challenge/codexxxxx abgefragt.
Wenn das geklappt hast, bekommst Du Dein Zertifikat ausgeliefert.Das geht natürlich (da noch) nicht über HTTPS/Port 443.
Insofern musst Du immer 80 + 443 NATten. Oder Du baust einen Proxy dazwischen, schon wegen der Sicherheit (vgl. z.B. hier: https://znil.net/index.php/Apache2_als_Reverse_Proxy_fC3%BCr_Exchange_20 ..)
*) Du kannst LE theoretisch auch mit DNS verifizieren, da bin ich aber raus.
Gruß
Micha
Exchange läuft über 443 - Stichwort OWA, MapioverHTTP, ...
https://www.win-acme.com/
Letsencrypt benötigt immer* den Port 80 für die Domainbestätigung: Du behauptest, Du wärst meinedomain.de. Um das zu bestätigen, wird jedes Mal ein neuer Code über http://meinedomain.de/.well-known/acme-challenge/codexxxxx abgefragt.
Wenn das geklappt hast, bekommst Du Dein Zertifikat ausgeliefert.Das geht natürlich (da noch) nicht über HTTPS/Port 443.
Insofern musst Du immer 80 + 443 NATten. Oder Du baust einen Proxy dazwischen, schon wegen der Sicherheit (vgl. z.B. hier: https://znil.net/index.php/Apache2_als_Reverse_Proxy_fC3%BCr_Exchange_20 ..)
*) Du kannst LE theoretisch auch mit DNS verifizieren, da bin ich aber raus.
Gruß
Micha
