xcabur
Goto Top

Welche Domains müssen im SSL Zertifikat eingetragen werden (OWA, Citrix)

Hallo zusammen, ich brauch wieder ienmal kurz Hilfe....

Ich habe einen Exchange Server 2010 (mit OWA über mail.domain.ch/owa) und noch 2 Citrix Server (Load Balancing), wobei das Citrix WebInterface auch auf dem Exchange Server installiert ist und somit via mail.domain.ch/citrix erreichbar ist.

Ich will nun ein offizielles Zertifikat für den externen OWA und Citrix Zugriff registrieren lassen. Was ich aber nirgends gefunden habe, ist ob mir ein Single Domain Zertifikat reicht oder ob ich ein Multi Domain Zertifikat brauche. Welche Domains muss ich alles registrieren lassen? Bei den eigens erstellten Zertifkaten steht ja allerhand drin von öffentlicher domain (maildomain.ch) über die interne domain (srv.domain.local) und dann gibts ja auch noch solche einträge wie autodiscovery.domain.ch für die Discovery Funktion von Outlook.

Braucht es die wirklich alle? Eigentlich will ich ja nur den Zugriff auf den einen Webserver verschlüsseln somit müsste ja ein single domain auf mail.domain.ch reichen oder?

Gruss und schon mal Danke!

Content-Key: 152151

Url: https://administrator.de/contentid/152151

Printed on: May 23, 2024 at 16:05 o'clock

Member: yumper
yumper Sep 30, 2010 at 22:18:01 (UTC)
Goto Top
du benötigst 1 Zertifikat für mail.domain.ch

das generierst und installierst du am besten im iis im rootverzeichnis

das zertifikat gilt dann für alle virtuellen Verzeichnisse hinter mail.domain.ch - egal ob /owa oder /citrix oder gar /rdweb face-smile

Gruß

Yumper
Member: filippg
filippg Sep 30, 2010 at 22:22:32 (UTC)
Goto Top
Hallo,

ein Zertifikat brauchst du für jeden Hostnamen, auf den du aus dem Internet zugreifst. Wenn das nur der mail.domain.ch ist reicht das aus. Ob du aus dem Internet auch direkt auf die Citrix-Server connectest weiß ich nicht. Wenn du den Autodiscover-Service unter autodiscover.domain.ch nutzen willst, brauchst du auch dafür eins. Allerdings geht Autodiscover auch mit mail.domain.ch, dazu muss nur DNS entsprechend konfiguriert sein (ließ dich zu Autodiscover mal ein).

Wenn du mehrere Hosts hast kannst du alternativ zu mehreren Zertifikaten auch eins verwenden, bei denen alle Hostnamen im Subject Alternate Name (SAN) hinterlegt sind - das lohnt im Allgemeinen aber nicht.
Best Practice ist es auch, den Mailserver nicht direkt aus dem Internet zugreifbar zu machen, sondern einen Reverse Proxy (z.B. ISA-Server) zwischenzuschalten.

Gruß

Filipp
Member: yumper
yumper Sep 30, 2010 at 22:44:02 (UTC)
Goto Top
Filipp und Forefront hast noch vergessen - steht doch alles nicht in der Aufgabe face-smile
Member: xcabur
xcabur Oct 01, 2010 at 09:35:36 (UTC)
Goto Top
haha top, wie nachtaktiv informatiker doch immer sind face-wink
Danke für die Hilfe, soweit alles geklärt...werd mich noch in autodiscovery einlesen....