cttbdb
Goto Top

Zertifikatsfehler in Exchange

Guten Abend,

sagen wir, mein Exchange Server ist von außen über owa.administrator.de erreichbar, SSL Zertifikat ist installiert, alles gut.
Intern ist er allerdings über exchange.admin.local zu erreichen. Klar, dass da ein Fehler kommt, weil das Zertifikat ja auf administrator.de ausgestellt ist und nicht auf admin.local.

Eine Möglichkeit die Fehler loszuwerden, und das ist zugegeben die einzige Möglichkeit, die nicht gepfuscht wäre, ist wohl das mit Split DNS einzurichten, damit man den Server auch intern über owa.administrator.de erreicht.

So, jetzt zur Frage:

Kann ich auf Client PCs entweder

Sämtliche Zertifikatsfehler in der internen admin.local Domain "ignorieren" lassen, sprich eben die Fehlermeldung gar nicht erst erscheinen lassen

oder sogar besser

Zertifikatsfehler eben nur für exchange.admin.local "ignorieren" ?


vielen Dank für eure Antworten!

Content-ID: 356655

Url: https://administrator.de/contentid/356655

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

bbdtek
bbdtek 01.12.2017 um 02:27:28 Uhr
Goto Top
CTTBDB
CTTBDB 02.12.2017 um 13:01:45 Uhr
Goto Top
Hallo,

erstmal danke für die Antwort.
In der Anleitung ist beschrieben, wie man ein selbstsigniertes Zertifikat bekommt. Afaik funktionieren Sachen wie Outlook anywhere und Autodiscover mit selbstsignierten Zertifikaten nicht, oder?
Zudem habe ich ja ein gültiges SSL Zertifikat für den Zugriff aus dem Internet, das tausche ich ja jetzt nicht durch ein selbstsigniertes aus.

Ich suche nur nach einer unschönen Möglichkeit, um um den Split DNS rumzukommen, eben weil das Zertifikat nur für die .de und nicht für die .local Domain gilt.
Am besten soll der Client nicht mal meckern, wenn er vom Server ein abgelaufenes, selbstsigniertes und auf falschen Namen ausgestelltes Zertifikat bekommt.
Ich will also gar nicht die Ursache bekämpfen, sondern nur das Symptom.
134464
134464 02.12.2017 aktualisiert um 13:18:42 Uhr
Goto Top
Zitat von @CTTBDB:
In der Anleitung ist beschrieben, wie man ein selbstsigniertes Zertifikat bekommt. Afaik funktionieren Sachen wie Outlook anywhere und Autodiscover mit selbstsignierten Zertifikaten nicht, oder?
Doch, solange der Client der ausstellenden CA vertraut kein Problem.
Zudem habe ich ja ein gültiges SSL Zertifikat für den Zugriff aus dem Internet, das tausche ich ja jetzt nicht durch ein selbstsigniertes aus.
Verständlich und das ist ja auch nicht nötig.
Ich suche nur nach einer unschönen Möglichkeit, um um den Split DNS rumzukommen, eben weil das Zertifikat nur für die .de und nicht für die .local Domain gilt.
Alle URLs auf die externe Domain umstellen auch die internen. Das Split-DNS ist nur eine effektivitätssteigernde Maßnahme damit der Traffic von internen Clients nicht über die Firewall geleitet werden. Zwingend ist Split-DNS hierbei also nicht, solange die externe und interne Domain nicht gleich sind. Nur der Router muss mit Hairpin-NAT klarkommen sonst bleiben die Pakete an am Router hängen.
Am besten soll der Client nicht mal meckern, wenn er vom Server ein abgelaufenes, selbstsigniertes und auf falschen Namen ausgestelltes Zertifikat bekommt.
Das wäre sicherheitstechnischer Blödsinn. Bei korrekt eingerichtetem Autodiscover und einem Zertifikat das nur die externe Domain inkl. autodiscover Subdomain enthält wird beim Client keine Meldung auftauchen, solange man an die Verlängerung des Zertifikats denkt, das ist Pflichtprogramm!!

Alle nötigen URLs ändert man komfortabel mit einem Powershell-Skript das hier erhältlich ist.
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016