Welche Domains müssen im SSL Zertifikat eingetragen werden (OWA, Citrix)

xcabur
Goto Top
Hallo zusammen, ich brauch wieder ienmal kurz Hilfe....

Ich habe einen Exchange Server 2010 (mit OWA über mail.domain.ch/owa) und noch 2 Citrix Server (Load Balancing), wobei das Citrix WebInterface auch auf dem Exchange Server installiert ist und somit via mail.domain.ch/citrix erreichbar ist.

Ich will nun ein offizielles Zertifikat für den externen OWA und Citrix Zugriff registrieren lassen. Was ich aber nirgends gefunden habe, ist ob mir ein Single Domain Zertifikat reicht oder ob ich ein Multi Domain Zertifikat brauche. Welche Domains muss ich alles registrieren lassen? Bei den eigens erstellten Zertifkaten steht ja allerhand drin von öffentlicher domain (maildomain.ch) über die interne domain (srv.domain.local) und dann gibts ja auch noch solche einträge wie autodiscovery.domain.ch für die Discovery Funktion von Outlook.

Braucht es die wirklich alle? Eigentlich will ich ja nur den Zugriff auf den einen Webserver verschlüsseln somit müsste ja ein single domain auf mail.domain.ch reichen oder?

Gruss und schon mal Danke!

Content-Key: 152151

Url: https://administrator.de/contentid/152151

Ausgedruckt am: 11.08.2022 um 08:08 Uhr

Mitglied: yumper
yumper 01.10.2010 um 00:18:01 Uhr
Goto Top
du benötigst 1 Zertifikat für mail.domain.ch

das generierst und installierst du am besten im iis im rootverzeichnis

das zertifikat gilt dann für alle virtuellen Verzeichnisse hinter mail.domain.ch - egal ob /owa oder /citrix oder gar /rdweb face-smile

Gruß

Yumper
Mitglied: filippg
filippg 01.10.2010 um 00:22:32 Uhr
Goto Top
Hallo,

ein Zertifikat brauchst du für jeden Hostnamen, auf den du aus dem Internet zugreifst. Wenn das nur der mail.domain.ch ist reicht das aus. Ob du aus dem Internet auch direkt auf die Citrix-Server connectest weiß ich nicht. Wenn du den Autodiscover-Service unter autodiscover.domain.ch nutzen willst, brauchst du auch dafür eins. Allerdings geht Autodiscover auch mit mail.domain.ch, dazu muss nur DNS entsprechend konfiguriert sein (ließ dich zu Autodiscover mal ein).

Wenn du mehrere Hosts hast kannst du alternativ zu mehreren Zertifikaten auch eins verwenden, bei denen alle Hostnamen im Subject Alternate Name (SAN) hinterlegt sind - das lohnt im Allgemeinen aber nicht.
Best Practice ist es auch, den Mailserver nicht direkt aus dem Internet zugreifbar zu machen, sondern einen Reverse Proxy (z.B. ISA-Server) zwischenzuschalten.

Gruß

Filipp
Mitglied: yumper
yumper 01.10.2010 um 00:44:02 Uhr
Goto Top
Filipp und Forefront hast noch vergessen - steht doch alles nicht in der Aufgabe face-smile
Mitglied: xcabur
xcabur 01.10.2010 um 11:35:36 Uhr
Goto Top
haha top, wie nachtaktiv informatiker doch immer sind face-wink
Danke für die Hilfe, soweit alles geklärt...werd mich noch in autodiscovery einlesen....