7
Wildcard Zertifikat und Exchange 2013
Folgendes Szenario:
Hauptdomäne ist mydom.de, darunter existieren vpn.mydom.de und mail.mydom.de (2 externe Anbindungen), das interne netz dahinter heist verwaltung.mydom.de.
Jetzt habe ich ein wildcard Zertifikat *.mydom.de, welches eigentlich alles erdenkliche abdecken soll. Tut es auch soweit, ich montiere dieses in Exchange 2013 und kann ohne Zertifikatsfehler alles Benutzen, sowohl OWA als auch Active Sync über die mail bzw vpn. Alles kein problem. Wenn ich jetzt aber Outlook auf den Clients aufrufe, erzählt er mir, das das Sicherheitsezertifikat nicht passt er wolle unbedingt was server.verwaltung.mydom.de haben und das komisch *.mydom.de ging so ja nicht. Wie bringe ich Outlook bei, das ein Wildcard Zertifikat das alles abdeckt und verwaltung.mydom.de in *.mydom.de enthalten ist? (Outlook 2010)
gruß
Hauptdomäne ist mydom.de, darunter existieren vpn.mydom.de und mail.mydom.de (2 externe Anbindungen), das interne netz dahinter heist verwaltung.mydom.de.
Jetzt habe ich ein wildcard Zertifikat *.mydom.de, welches eigentlich alles erdenkliche abdecken soll. Tut es auch soweit, ich montiere dieses in Exchange 2013 und kann ohne Zertifikatsfehler alles Benutzen, sowohl OWA als auch Active Sync über die mail bzw vpn. Alles kein problem. Wenn ich jetzt aber Outlook auf den Clients aufrufe, erzählt er mir, das das Sicherheitsezertifikat nicht passt er wolle unbedingt was server.verwaltung.mydom.de haben und das komisch *.mydom.de ging so ja nicht. Wie bringe ich Outlook bei, das ein Wildcard Zertifikat das alles abdeckt und verwaltung.mydom.de in *.mydom.de enthalten ist? (Outlook 2010)
gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252723
Url: https://administrator.de/contentid/252723
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
7 Kommentare
Neuester Kommentar
hi
ein *.mydom.de Zertifikat deckt nur die erste Subdomänen-Ebene ab.
für die 2te bräuchtest du ein*.verwaltung.mydom.de
Aber da es ja eh ein internes Netz ist, solltest du für diese Ebene einfach ein selbstsigniertes erstellen (und entsprechend im IIS eintragen) und deinen Clients per GPO als vertrauenswürdiges Zertifikat zuweisen, bzw gleich ein Domänen-CA erstellen und es darüber abwickeln.
ein *.mydom.de Zertifikat deckt nur die erste Subdomänen-Ebene ab.
für die 2te bräuchtest du ein*.verwaltung.mydom.de
Aber da es ja eh ein internes Netz ist, solltest du für diese Ebene einfach ein selbstsigniertes erstellen (und entsprechend im IIS eintragen) und deinen Clients per GPO als vertrauenswürdiges Zertifikat zuweisen, bzw gleich ein Domänen-CA erstellen und es darüber abwickeln.
Ich kann aber ja nur ein Zertifikat einstellen für den Dienst in Ex2013. Und es ist ja auch nur eine Ebene der server heist ja nur server.verwaltung.mydom.de. Die Domäne ist ja Verwaltung.mydom.de ... sub1.sub2.mydom.de wären ja erst zwei Ebenen
du hast geschrieben das Outlook SERVER.verwaltung.mydom.de beanstanded. Das wäre die 2. Ebene.
Aber egal.
Du musst in der Exchange verwaltungskonsole beim Outlook Anywhere die URL für Extern prüfen. Da muss mail.mydom.de rein
Dann die Eigenschaften der OWA öffnen und Extern.intern angeben. Extern muss da mail.mydom.de/owa stehen und intern Server.verwaltung.mydom.de/owa
dann im IIS:
erst ein Zertifikat erstellen für server.verwaltung.mydom.de (oder entsprechend über die CA) und das auch per GPO verteilen.
Dann in der Defaultsite auf Bindung klicken. Da sollte schon mindestens eine Bindung für HTTPS existieren.
Da musst du dafür sorgen das für die interne und externe Adresse jeweils eine Bindung existiert mit dem zugehörigen Zertifikat.
Aber egal.
Du musst in der Exchange verwaltungskonsole beim Outlook Anywhere die URL für Extern prüfen. Da muss mail.mydom.de rein
Dann die Eigenschaften der OWA öffnen und Extern.intern angeben. Extern muss da mail.mydom.de/owa stehen und intern Server.verwaltung.mydom.de/owa
dann im IIS:
erst ein Zertifikat erstellen für server.verwaltung.mydom.de (oder entsprechend über die CA) und das auch per GPO verteilen.
Dann in der Defaultsite auf Bindung klicken. Da sollte schon mindestens eine Bindung für HTTPS existieren.
Da musst du dafür sorgen das für die interne und externe Adresse jeweils eine Bindung existiert mit dem zugehörigen Zertifikat.
Stimmt, mit dem Servernamen ist es dann die zweite eben, der outlook sieht ja die url server.verwaltung.mydom.de .. stimmt.
I
I
Okay das klingt logisch, ich hatte nicht daran gedacht das der Servername ja teil der Domäne ist und dann es ja schon zwei ebenen gibt.
Das ganze ist ja dann so aufgebaut das die externen Anfragen auf die mail und vpn (das sind zwei DSL Business mit festen ips) auf den Exchange weitergeleitet werden. Wie soll ich denn jetzt aber trennen was von intern oder extern kommt? Ich kann ja auf die selbe IP keine zwei https Bindungen auf den selben Port (443) anlegen. In der Bindung selbst kann ich das Zertifikat ja wählen.. (Mal abgesehen könnte ich natürlich eine zusätzliche Netzwerkkarte (der hat 4) verwenden, die dann nur für externe anfragen verwendet wird und auch in keinem DNS auftaucht, damit outlook sich nicht doch versucht darauf zu verbinden. Dann könnte ich zwei Zertfikate verwenden ...) Oder gibts da einen anderen weg .. ?
Das ganze ist ja dann so aufgebaut das die externen Anfragen auf die mail und vpn (das sind zwei DSL Business mit festen ips) auf den Exchange weitergeleitet werden. Wie soll ich denn jetzt aber trennen was von intern oder extern kommt? Ich kann ja auf die selbe IP keine zwei https Bindungen auf den selben Port (443) anlegen. In der Bindung selbst kann ich das Zertifikat ja wählen.. (Mal abgesehen könnte ich natürlich eine zusätzliche Netzwerkkarte (der hat 4) verwenden, die dann nur für externe anfragen verwendet wird und auch in keinem DNS auftaucht, damit outlook sich nicht doch versucht darauf zu verbinden. Dann könnte ich zwei Zertfikate verwenden ...) Oder gibts da einen anderen weg .. ?
2 Netzwerkkarten sind da vermutlich die beste Lösung.
Sagen wir mal Adapter 1 ist für Extern gedacht und Adapter 2 für intern.
Dann stellst du Adapter 1 so ein, das er den entsprechenden Gateway verwendet, der für die Externe Leitung verantwortlich ist. Unter TCP/IPv4 auf Erweitert ->DNS den Haken bei "Adressen dieser Verbindung im DNS Registrieren" entfernen. Damit wird dann unter der IP kein Eintrag im DNS Server erstellt.
Diese IP musst du im IIS dann bei der Bindung auch einstellen und das entsprechende Externe Zertifikat nehmen.
Beim 2ten(internen) Adapter logischer weise keinen Gateway angeben und den DNS Haken drinnen lassen.
Im IIS jetzt den internen Servernamen auf der internen IP einstellen und das interne Zertifikat nehmen.
Nochmal im DNS Server gucken das nur die eine (interne) IP unter dem Internen DNS-Namen existiert(sich also nur der eine Adapter am DNS Registriert hat).
Wenn du beim OWA die Adresse richtig angegeben hast, versuchen die Clients sich erst mal auf die Interne Adresse zu verbinden. Diesen lösen sie jetzt auf die eine IP auf, unter der sie das interne Zertifikat geliefert bekommen.
Für den Fall der externen Verbindung muss entsprechen das Autodiscovery existieren. Also autodiscovery.mydom.de, bzw, falls möglich, einen SRV Recor machen.
Siehe https://testconnectivity.microsoft.com/
Sagen wir mal Adapter 1 ist für Extern gedacht und Adapter 2 für intern.
Dann stellst du Adapter 1 so ein, das er den entsprechenden Gateway verwendet, der für die Externe Leitung verantwortlich ist. Unter TCP/IPv4 auf Erweitert ->DNS den Haken bei "Adressen dieser Verbindung im DNS Registrieren" entfernen. Damit wird dann unter der IP kein Eintrag im DNS Server erstellt.
Diese IP musst du im IIS dann bei der Bindung auch einstellen und das entsprechende Externe Zertifikat nehmen.
Beim 2ten(internen) Adapter logischer weise keinen Gateway angeben und den DNS Haken drinnen lassen.
Im IIS jetzt den internen Servernamen auf der internen IP einstellen und das interne Zertifikat nehmen.
Nochmal im DNS Server gucken das nur die eine (interne) IP unter dem Internen DNS-Namen existiert(sich also nur der eine Adapter am DNS Registriert hat).
Wenn du beim OWA die Adresse richtig angegeben hast, versuchen die Clients sich erst mal auf die Interne Adresse zu verbinden. Diesen lösen sie jetzt auf die eine IP auf, unter der sie das interne Zertifikat geliefert bekommen.
Für den Fall der externen Verbindung muss entsprechen das Autodiscovery existieren. Also autodiscovery.mydom.de, bzw, falls möglich, einen SRV Recor machen.
Siehe https://testconnectivity.microsoft.com/
Perfekt so dachte ich mir das 
