9
Zertifikat! Nginx und Exchange Server 2016 - Best Practice?
Hallo zusammen, ich habe grundsätzliche Fragen zu der Konstellation Nginx und Exchange 2016.
Die letzten Tage habe ich einige Anleitungen und Beiträge zum Thema Reverse Proxy gelesen, allerdings habe ich das Gefühl,
dass ich trotzdem noch nicht alles verstanden habe.
Ausgangslage:
- Exchange 2016 mit Zertifikat von GoDaddy, Laufzeit 2 Jahre.
- Port 443 via Port Forwarding auf den Exchange gerichtet.
- Sub-Domains: outlook.domain.de, autodiscover.domain.de, remote.domain.de auf feste IP weitergeleitet.
- Split DNS
- OWA und ECP sollen von extern nicht erreichbar sein, OWA bei allen Konten deaktiviert. ECP via Console mit
„Get-EcpVirtualDirectory -Server srv-ex2016 | Set-EcpVirtualDirectory -AdminEnabled:$false“ deaktiviert.
- E-Mail Abruf im int. Netzwerk sowie von extern ausschließlich via Win. Outlook 2016 und über iPad / iPhone.
- E-Mails werden mit dem Popcon bei Alfahosting abgeholt.
- Versand über Smarthost.
Wenn dem Exchange nun ein Nginx vorgeschaltet werden soll:
1. Wer bekommt das Zertifikat? Bekommt der Nginx das gleiche Zertifikat, welches auch auf dem Exchange liegt?
Oder nimmt man hier einfach den Certbot und lässt sich ein neues, zusätzliches Zertifikat (Lets Encrypt) für den Nginx ausstellen?
2. Wenn man das GoDaddy Zertifikat vom Exchange benutzen kann, wie bekomme ich das auf den Nginx importiert?
Vielleicht kann mir da jemand einen Schubs in die richtige Richtung geben? Was wäre der beste Weg? Danke Schön
Debitor0815
Die letzten Tage habe ich einige Anleitungen und Beiträge zum Thema Reverse Proxy gelesen, allerdings habe ich das Gefühl,
dass ich trotzdem noch nicht alles verstanden habe.
Ausgangslage:
- Exchange 2016 mit Zertifikat von GoDaddy, Laufzeit 2 Jahre.
- Port 443 via Port Forwarding auf den Exchange gerichtet.
- Sub-Domains: outlook.domain.de, autodiscover.domain.de, remote.domain.de auf feste IP weitergeleitet.
- Split DNS
- OWA und ECP sollen von extern nicht erreichbar sein, OWA bei allen Konten deaktiviert. ECP via Console mit
„Get-EcpVirtualDirectory -Server srv-ex2016 | Set-EcpVirtualDirectory -AdminEnabled:$false“ deaktiviert.
- E-Mail Abruf im int. Netzwerk sowie von extern ausschließlich via Win. Outlook 2016 und über iPad / iPhone.
- E-Mails werden mit dem Popcon bei Alfahosting abgeholt.
- Versand über Smarthost.
Wenn dem Exchange nun ein Nginx vorgeschaltet werden soll:
1. Wer bekommt das Zertifikat? Bekommt der Nginx das gleiche Zertifikat, welches auch auf dem Exchange liegt?
Oder nimmt man hier einfach den Certbot und lässt sich ein neues, zusätzliches Zertifikat (Lets Encrypt) für den Nginx ausstellen?
2. Wenn man das GoDaddy Zertifikat vom Exchange benutzen kann, wie bekomme ich das auf den Nginx importiert?
Vielleicht kann mir da jemand einen Schubs in die richtige Richtung geben? Was wäre der beste Weg? Danke Schön
Debitor0815
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 493202
Url: https://administrator.de/contentid/493202
Printed on: April 25, 2024 at 06:04 o'clock
9 Comments
Latest comment
Das Zertifikat bekommt grundsätzlich immer der Dienst, der letztlich mit dem Client redet — in deinem Fall also der nginx.
Wie man das Zertifikat (und vor allem den Private Key) am einfachsten umzieht, sollte aber jemand beantworten, der sich mehr mit Windows-Servern auskennt.
Wie man das Zertifikat (und vor allem den Private Key) am einfachsten umzieht, sollte aber jemand beantworten, der sich mehr mit Windows-Servern auskennt.
Der Reverse Proxy bekommt das Zertifikat. Der Exchange sollte es aber auch behalten, da auch von Intern ohne Reverse Proxy darauf zugegriffen wird.
Die Portweiterleitung muss damit natürlich deaktiviert werden.
Wie man das Zertifikat auf dem Nginx importiert, weiss ich leider auch nicht, die Antwort überlasse ich den nächsten Nightwalkern.
Nebenbei:
Das Thema ob Exchange einen Reverse proxy benötigt oder nicht wird kontrovers diskutiert, da angeblich der letzte IIS so sicher sei. Was hat Dich dazu bewegt sich für einen Proxy zu entscheiden? Kam eine Gefahr auf? Vor der Entscheidung stehe ich auch gerade.
Die Portweiterleitung muss damit natürlich deaktiviert werden.
Wie man das Zertifikat auf dem Nginx importiert, weiss ich leider auch nicht, die Antwort überlasse ich den nächsten Nightwalkern.
Nebenbei:
Das Thema ob Exchange einen Reverse proxy benötigt oder nicht wird kontrovers diskutiert, da angeblich der letzte IIS so sicher sei. Was hat Dich dazu bewegt sich für einen Proxy zu entscheiden? Kam eine Gefahr auf? Vor der Entscheidung stehe ich auch gerade.
der sich mehr mit Windows-Servern auskennt.
Ich hoffe nicht, dass er einen Windows Reverse Proxy davor schalten wird.
Ich hoffe nicht, dass er einen Windows Reverse Proxy davor schalten wird.
1
Warum ein Reverse Proxy wenn OWA und Ecp von extern nicht erreichbar sein sollen?
Zitat von @falscher-sperrstatus:
Warum ein Reverse Proxy wenn OWA und Ecp von extern nicht erreichbar sein sollen?
moin...Warum ein Reverse Proxy wenn OWA und Ecp von extern nicht erreichbar sein sollen?
ich vemute mal, wegen WLAN...
- E-Mail Abruf im int. Netzwerk sowie von extern ausschließlich via Win. Outlook 2016 und über iPad / iPhone.
Frank
Hallo zusammen,
vielen Dank für eure Antworten J
Es ist mir bekannt, dass Microsoft keinen Reverse Proxy vorschreibt.
Würde aber gerne trotzdem einen davor schalten, schaden kann es
ja nicht. Ich möchte eben keine direkte Portfreigabe auf den Server.
Der Reverse Proxy soll eben nur das nötigste durchreichen, was für
die Benutzung von extern (Außendienstler) MS Outlook + iPhone/iPad
Mail-App nötig ist.
Wäre es problematisch, wenn ich für alle Sub-Domains via Certbot und Lets Encrypt
ein Zertifikat auf dem Nginx erstelle und auf dem Exchange bleibt einfach das GoDaddy Zertifikat?
Also der lokale Mitarbeiter im Büro greift direkt auf den Exchange zu
und es wird das GoDaddy Zertifikat herangezogen. Der Außendienstler kommt von
extern über den Nginx und es wird das Lets Encrypt Zertifikat verwendet.
Sollte doch auch funktionieren oder?
vielen Dank für eure Antworten J
Es ist mir bekannt, dass Microsoft keinen Reverse Proxy vorschreibt.
Würde aber gerne trotzdem einen davor schalten, schaden kann es
ja nicht. Ich möchte eben keine direkte Portfreigabe auf den Server.
Der Reverse Proxy soll eben nur das nötigste durchreichen, was für
die Benutzung von extern (Außendienstler) MS Outlook + iPhone/iPad
Mail-App nötig ist.
Wäre es problematisch, wenn ich für alle Sub-Domains via Certbot und Lets Encrypt
ein Zertifikat auf dem Nginx erstelle und auf dem Exchange bleibt einfach das GoDaddy Zertifikat?
Also der lokale Mitarbeiter im Büro greift direkt auf den Exchange zu
und es wird das GoDaddy Zertifikat herangezogen. Der Außendienstler kommt von
extern über den Nginx und es wird das Lets Encrypt Zertifikat verwendet.
Sollte doch auch funktionieren oder?
moin...
Wäre es problematisch, wenn ich für alle Sub-Domains via Certbot und Lets Encrypt
ein Zertifikat auf dem Nginx erstelle und auf dem Exchange bleibt einfach das GoDaddy Zertifikat?
Frank
Zitat von @Debitor0815:
Hallo zusammen,
vielen Dank für eure Antworten J
Es ist mir bekannt, dass Microsoft keinen Reverse Proxy vorschreibt.
Würde aber gerne trotzdem einen davor schalten, schaden kann es
ja nicht. Ich möchte eben keine direkte Portfreigabe auf den Server.
hast du nicht eben geschrieben, das dein exchange eh kein OWA macht,,, und es keine I-Net verbindung zu ihm gibt?Hallo zusammen,
vielen Dank für eure Antworten J
Es ist mir bekannt, dass Microsoft keinen Reverse Proxy vorschreibt.
Würde aber gerne trotzdem einen davor schalten, schaden kann es
ja nicht. Ich möchte eben keine direkte Portfreigabe auf den Server.
Der Reverse Proxy soll eben nur das nötigste durchreichen, was für
die Benutzung von extern (Außendienstler) MS Outlook + iPhone/iPad
Mail-App nötig ist.
also deoch OWA frei.... und Inet verbindung!?!die Benutzung von extern (Außendienstler) MS Outlook + iPhone/iPad
Mail-App nötig ist.
Wäre es problematisch, wenn ich für alle Sub-Domains via Certbot und Lets Encrypt
ein Zertifikat auf dem Nginx erstelle und auf dem Exchange bleibt einfach das GoDaddy Zertifikat?
Also der lokale Mitarbeiter im Büro greift direkt auf den Exchange zu
und es wird das GoDaddy Zertifikat herangezogen. Der Außendienstler kommt von
extern über den Nginx und es wird das Lets Encrypt Zertifikat verwendet.
Sollte doch auch funktionieren oder?
nutze lieber nur ein Zertifikat!und es wird das GoDaddy Zertifikat herangezogen. Der Außendienstler kommt von
extern über den Nginx und es wird das Lets Encrypt Zertifikat verwendet.
Sollte doch auch funktionieren oder?
Frank
Ja, das funktioniert, Du musst halt dann auf zwei Ablaufzeiten aufpassen, besser wäre es das neue Zertifikat dann auf beide zu spielen.
OWA und Outlook greifen beide auf den gleichen Port zu: https/443, das eine zu sperren und das andere durchzulassen ist nicht wirklich sicherer.
OWA und Outlook greifen beide auf den gleichen Port zu: https/443, das eine zu sperren und das andere durchzulassen ist nicht wirklich sicherer.
Hallo zusammen,
ich will ja nicht den Port sperren, ich will nur den Zugriff auf den Exchange über den Nginx (Port 443) leiten, und damit den direkten Zugriff auf die virt. Verzeichnisse einschränken. Es darf nur das Nötigste durch, was man eben für Outlook Anywhere + iPhone App benötigt. OWA und ECP werden dann ausgeklammert und erst gar nicht weitergeleitet. Somit ist von extern auch keinerlei Anmeldeseite zu sehen. Wenn dann einer z.B. /owa eintippt, landet er auf der Unternehmensseite oder auf 404. Kann man ja einstellen. Hier der Teil mit den virt. Verzeichnissen einer Konfigurationsdatei vom Nginx:
Das mit dem Zertifikat ist momentan noch mein Showstopper, ich finde keine Infos, wie ich ein bestehendes
Zertifikat vom Exchange auf den Nginx bekomme. Aber wie machen das andere?
@NordicMike: Nein, es gab keine Gefahr. Ich kenne ein anderes Unternehmen, da stand sogar lange Zeit ein Exchange 2010 ungepatcht und mit nacktem Hintern am Internet. Da ist auch nichts passiert. Aber man weiß ja nie... Mein Ziel ist einfach, nur das notwendigste von außen erreichbar machen. Mit dieser Regel bin ich bisher immer gut gefahren. Ich denke, dass man hier mit einfachen Mitteln die Sicherheit etwas erhöhen kann.
Grüße
ich will ja nicht den Port sperren, ich will nur den Zugriff auf den Exchange über den Nginx (Port 443) leiten, und damit den direkten Zugriff auf die virt. Verzeichnisse einschränken. Es darf nur das Nötigste durch, was man eben für Outlook Anywhere + iPhone App benötigt. OWA und ECP werden dann ausgeklammert und erst gar nicht weitergeleitet. Somit ist von extern auch keinerlei Anmeldeseite zu sehen. Wenn dann einer z.B. /owa eintippt, landet er auf der Unternehmensseite oder auf 404. Kann man ja einstellen. Hier der Teil mit den virt. Verzeichnissen einer Konfigurationsdatei vom Nginx:
#location /owa { proxy_pass https:{{comment_single_line_double_slash:0}}
#location /ecp { proxy_pass https:{{comment_single_line_double_slash:1}}
location /ews { proxy_pass https://interneIP/ews; }
location /Microsoft-Server-ActiveSync { proxy_pass https://interneIP/Microsoft-Server-ActiveSync; }
location /mapi { proxy_pass https://interneIP/mapi; }
location /rpc { proxy_pass https://interneIP/rpc; }
location /oab { proxy_pass https://interneIP/oab; }
location /Autodiscover { proxy_pass https://interneIP/Autodiscover; }Das mit dem Zertifikat ist momentan noch mein Showstopper, ich finde keine Infos, wie ich ein bestehendes
Zertifikat vom Exchange auf den Nginx bekomme. Aber wie machen das andere?
@NordicMike: Nein, es gab keine Gefahr. Ich kenne ein anderes Unternehmen, da stand sogar lange Zeit ein Exchange 2010 ungepatcht und mit nacktem Hintern am Internet. Da ist auch nichts passiert. Aber man weiß ja nie... Mein Ziel ist einfach, nur das notwendigste von außen erreichbar machen. Mit dieser Regel bin ich bisher immer gut gefahren. Ich denke, dass man hier mit einfachen Mitteln die Sicherheit etwas erhöhen kann.
Grüße
