Öffentliches Zertifikat für Exchange notwendig?
Moin zsam,
Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt. Hier würde doch ein Selbstsigniertes Zertifikat vollkommend ausreichend sein, wenn man sich innerhalb des Netzwerkes bewegt. Übersehe ich etwas?
Gruss
Peter
Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt. Hier würde doch ein Selbstsigniertes Zertifikat vollkommend ausreichend sein, wenn man sich innerhalb des Netzwerkes bewegt. Übersehe ich etwas?
Gruss
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 616445
Url: https://administrator.de/contentid/616445
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Du brauchst nie ein bezahltes Zertifikat. Du musst nur dafür sorgen, dass das Stammzertifikat der CA, die die Zertifikate erstellt, den Clients bekannt ist und akzeptiert wird. Wenn das nur im lokalen Netz ein AD vorausgesetzt genutzt wird, ist das ganz einfach. Aus Deiner Frage schließe ich, dass Dir das bekannt ist.
Liebe Grüße
Erik
Zitat von @cordial:
Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt.
Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt.
Du brauchst nie ein bezahltes Zertifikat. Du musst nur dafür sorgen, dass das Stammzertifikat der CA, die die Zertifikate erstellt, den Clients bekannt ist und akzeptiert wird. Wenn das nur im lokalen Netz ein AD vorausgesetzt genutzt wird, ist das ganz einfach. Aus Deiner Frage schließe ich, dass Dir das bekannt ist.
Liebe Grüße
Erik
Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt. Hier würde doch ein Selbstsigniertes Zertifikat vollkommend ausreichend sein, wenn man sich innerhalb des Netzwerkes bewegt. Übersehe ich etwas?
Nein.
N'Abend.
Prinzipiell richtig, aber nur OWA zu nennen, greift zu kurz - gilt für alle externen Zugriff, also auch für Outlook vom Laptop und ActiveSync vom Schlaufon aus. Und gerade bei letzterem erleichtert ein gültiges und öffentlich verifizierbares Zertifikat die Einrichtung der Clients immens.
Und nur am Rande:
Ein Zertifikat kostet ~12,- Euro/Jahr, die Einrichtung ist in zehn Minuten durch, Kippenpause mit eingerechnet. Da muss ich eigentlich gar nicht überlegen....
Cheers,
jsysde
Prinzipiell richtig, aber nur OWA zu nennen, greift zu kurz - gilt für alle externen Zugriff, also auch für Outlook vom Laptop und ActiveSync vom Schlaufon aus. Und gerade bei letzterem erleichtert ein gültiges und öffentlich verifizierbares Zertifikat die Einrichtung der Clients immens.
Und nur am Rande:
Ein Zertifikat kostet ~12,- Euro/Jahr, die Einrichtung ist in zehn Minuten durch, Kippenpause mit eingerechnet. Da muss ich eigentlich gar nicht überlegen....
Cheers,
jsysde
Moin.
Welches Zertifikat in deinem AD vertrauenswürdig ist, legst du als Admin fest.
Wie oben erwähnt, lässt sich eine solche Verteilung von selbstsignierten Zertifikaten wunderbar automatisieren.
Anschließend müssen die Browser natürlich noch dazu bewegt werden, den Windows-Zertifikatspeicher zu verwenden.
Abgesehen davon, müssen deine Kisten über keine Internetverbindung verfügen, um ein "gekauftes Zertifikat" zu hinterlegen.
Diese haben in der Regel eine längere Laufzeit als die "Lets Encrypt" Zertifikate und müssen nicht alle 30 Tage erneuert werden.
Ebenfalls finden hier andere Arten der Verifizierung (DV, OV, IV, EV) statt. Je nach Typ des Zertifikats z.B. ein Handeslregisterauszug.
Gruß
Welches Zertifikat in deinem AD vertrauenswürdig ist, legst du als Admin fest.
Wie oben erwähnt, lässt sich eine solche Verteilung von selbstsignierten Zertifikaten wunderbar automatisieren.
Anschließend müssen die Browser natürlich noch dazu bewegt werden, den Windows-Zertifikatspeicher zu verwenden.
Abgesehen davon, müssen deine Kisten über keine Internetverbindung verfügen, um ein "gekauftes Zertifikat" zu hinterlegen.
Diese haben in der Regel eine längere Laufzeit als die "Lets Encrypt" Zertifikate und müssen nicht alle 30 Tage erneuert werden.
Ebenfalls finden hier andere Arten der Verifizierung (DV, OV, IV, EV) statt. Je nach Typ des Zertifikats z.B. ein Handeslregisterauszug.
Gruß
N'Abend.
Bei Mobilgeräten, auch wenn die per VPN kommen, ist dem nicht so (sofern du kein MDM am Start hast). Und gerade angebissenes Obst mag das mit den self-signed Zertifikaten so gar nicht. Und ja, ich weiß, das kann man auch ohne MDM lösen, aber genau da stellt sich die Kosten-/Nutzen-Frage: Wie viel Zeit muss ich für dieses Gebastel investieren, wenn ich mir das für <15,- Euro/Jahr vollständig ersparen kann?
Und auch Let's Encrypt erweist sich immer mal wieder als Gebastel, wenn grad mal wieder jemandem einfällt, dass der Bot für die automatische Verlängerung nicht mehr supported wird usw. Solang man nur einen einzigen Exchange-Server zu betreuen hat und die Anzahl aller Clients überschaubar ist, mag das alles darstellbar sein. Im Kundenumfeld hingegen fahre ich mit dem "echten" Zertifikat deutlich stressfreier und nervenschonender.
*Just my 5 Cent*
Cheers,
jsysde
Zitat von @ichi1232:
[...]Wie oben erwähnt, lässt sich eine solche Verteilung von selbstsignierten Zertifikaten wunderbar automatisieren.[...]
Solange es sich um Windows Clients handelt, denen du das Zertifikat per GPO unterschieben kannst - ja.[...]Wie oben erwähnt, lässt sich eine solche Verteilung von selbstsignierten Zertifikaten wunderbar automatisieren.[...]
Bei Mobilgeräten, auch wenn die per VPN kommen, ist dem nicht so (sofern du kein MDM am Start hast). Und gerade angebissenes Obst mag das mit den self-signed Zertifikaten so gar nicht. Und ja, ich weiß, das kann man auch ohne MDM lösen, aber genau da stellt sich die Kosten-/Nutzen-Frage: Wie viel Zeit muss ich für dieses Gebastel investieren, wenn ich mir das für <15,- Euro/Jahr vollständig ersparen kann?
Und auch Let's Encrypt erweist sich immer mal wieder als Gebastel, wenn grad mal wieder jemandem einfällt, dass der Bot für die automatische Verlängerung nicht mehr supported wird usw. Solang man nur einen einzigen Exchange-Server zu betreuen hat und die Anzahl aller Clients überschaubar ist, mag das alles darstellbar sein. Im Kundenumfeld hingegen fahre ich mit dem "echten" Zertifikat deutlich stressfreier und nervenschonender.
*Just my 5 Cent*
Cheers,
jsysde
Zitat von @jsysde:
Und nur am Rande:
Ein Zertifikat kostet ~12,- Euro/Jahr, die Einrichtung ist in zehn Minuten durch, Kippenpause mit eingerechnet. Da muss ich eigentlich gar nicht überlegen....
Das Let's Encrypt Zertifikat kostet 0,00 €, wird einmalig je Exchange eingerichtet und aktualisiert sich automatisch im voreingestellten Rhytmus (da diese Zertifikate ja nur 3 Monate gültig sind).Und nur am Rande:
Ein Zertifikat kostet ~12,- Euro/Jahr, die Einrichtung ist in zehn Minuten durch, Kippenpause mit eingerechnet. Da muss ich eigentlich gar nicht überlegen....
Hier habt ihr eine Anleitung, wie das funktionieren kann.
Und auch Let's Encrypt erweist sich immer mal wieder als Gebastel, wenn grad mal wieder jemandem einfällt, dass der Bot für die automatische Verlängerung nicht mehr supported wird usw. Solang man nur einen einzigen Exchange-Server zu betreuen hat und die Anzahl aller Clients überschaubar ist, mag das alles darstellbar sein. Im Kundenumfeld hingegen fahre ich mit dem "echten" Zertifikat deutlich stressfreier und nervenschonender.
Das geht auch wunderbar, wenn man viele Kunden Exchanges und andere Websites betreut, die mit Zertifkaten abgesichert werden müssen.Es gibt bspw. auch "certify the web" als Möglichkeit.
Ich bekomme Meldungen, wenn dort etwas nicht funktioniert.
N'Abend.
Genau das ^^ ist ja der Punkt - ich bekomme die auch und das leider häufiger, als mir lieb ist. Und wenn ich nur ne Viertelstunde dafür benötige, der Meldung nachzugehen und einen evtl. vorhandenen Fehler zu beheben übersteigen meine/die von mir verursachten und dem Kunden zu berechnenden Kosten die eines öffentliches Zertifikats. Habe ich ein solches, benötige ich einmal im Jahr 15 Minuten für Verlängerung und Aktualisierung des Zertifikats auf dem Server. Mehr wollte ich mit meiner Aussage von oben gar nicht sagen - technisch und funktionell ist Let's Encrypt natürlich völlig in Ordnung.
Cheers,
jsysde
Genau das ^^ ist ja der Punkt - ich bekomme die auch und das leider häufiger, als mir lieb ist. Und wenn ich nur ne Viertelstunde dafür benötige, der Meldung nachzugehen und einen evtl. vorhandenen Fehler zu beheben übersteigen meine/die von mir verursachten und dem Kunden zu berechnenden Kosten die eines öffentliches Zertifikats. Habe ich ein solches, benötige ich einmal im Jahr 15 Minuten für Verlängerung und Aktualisierung des Zertifikats auf dem Server. Mehr wollte ich mit meiner Aussage von oben gar nicht sagen - technisch und funktionell ist Let's Encrypt natürlich völlig in Ordnung.
Cheers,
jsysde