Zusammenhang Domänenname intern, feste IP, Reverse Lookup und Zertifikat
ich habe jetzt etliche Beiträge, auch bei MXFAQ gelesen und bin nicht schlauer als vorher, ich verstehe den Zusammenhang nicht, bzw. habe ich wohl zuviel gelesen und bin völlig durcheinander.
Da ich einen permanenten Zertifikatsfehler beim externen Zugriff mit meinem Outlook 2007 auf meinen firmeninternen Exchangeserver (SBS 2008) habe, würde ich gern ein paar grundsätzliche Dinge verstehen, die ich schon dachte begriffen zu haben.
Also:
- https:/..../owa und https:/..../remote funktionieren, allerdings mit roter Adressleiste im IExplorer 8
- der Zugriff auf den Server oder andere Rechner wird mit Zertifikatsfehler verweigert
- die externe Einbindung meines iPod Touch mittels Exchange hat hervorragend funktioniert, ich habe einfach die feste IP die ich vom IP (T-COM) habe eingetragen, ohne irgendwelche Zusätze
Wie verhält sich das mit dem internen Domänennamen, bzw. Servernahmen und der festen IP bzw. den komischen Namen den ich bei reverse ns lookup erfahre ( p*.dip0.t-ipconnect.de) im Zusammenhang mit einem selbst ausgestellten Zertifikat?
es gibt den Antragssteller und den Aussteller, bei beiden steht was anderes drin:
1. *-SERVER1-CA
2. remote.*-**.de
wobei bei 1. der interne Domänenname steht (der SBS Server heißt SERVER1)
und bei 2. meine Firmenwebsite, die auch bei der Telekom gehostet ist, aber natürlich etwas anders heisst.
Offensichtlich habe ich da am Anfang bei der Einrichtung des Servers etwas falsch verstanden und bestimmt einen falschen Eintrag irgendwo gemacht?!?
Denn meine feste IP für den Internetzugang meiner Firma hat ja rein garnichts mit der gehosteten Website zu tun.
Was ist da falsch???
Da ich einen permanenten Zertifikatsfehler beim externen Zugriff mit meinem Outlook 2007 auf meinen firmeninternen Exchangeserver (SBS 2008) habe, würde ich gern ein paar grundsätzliche Dinge verstehen, die ich schon dachte begriffen zu haben.
Also:
- https:/..../owa und https:/..../remote funktionieren, allerdings mit roter Adressleiste im IExplorer 8
- der Zugriff auf den Server oder andere Rechner wird mit Zertifikatsfehler verweigert
- die externe Einbindung meines iPod Touch mittels Exchange hat hervorragend funktioniert, ich habe einfach die feste IP die ich vom IP (T-COM) habe eingetragen, ohne irgendwelche Zusätze
Wie verhält sich das mit dem internen Domänennamen, bzw. Servernahmen und der festen IP bzw. den komischen Namen den ich bei reverse ns lookup erfahre ( p*.dip0.t-ipconnect.de) im Zusammenhang mit einem selbst ausgestellten Zertifikat?
es gibt den Antragssteller und den Aussteller, bei beiden steht was anderes drin:
1. *-SERVER1-CA
2. remote.*-**.de
wobei bei 1. der interne Domänenname steht (der SBS Server heißt SERVER1)
und bei 2. meine Firmenwebsite, die auch bei der Telekom gehostet ist, aber natürlich etwas anders heisst.
Offensichtlich habe ich da am Anfang bei der Einrichtung des Servers etwas falsch verstanden und bestimmt einen falschen Eintrag irgendwo gemacht?!?
Denn meine feste IP für den Internetzugang meiner Firma hat ja rein garnichts mit der gehosteten Website zu tun.
Was ist da falsch???
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 134798
Url: https://administrator.de/forum/zusammenhang-domaenenname-intern-feste-ip-reverse-lookup-und-zertifikat-134798.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
6 Kommentare
Neuester Kommentar
Du stellst ein Zertifikat für einen Namen bzw. IP aus.
z.b. remote.*-**.de
Somit wenn du eine Webseite mit exakt diesem Namen aufrufst und der das Zertifikat hinterlegt hat dann stimmt soweit das Webzertifikat.
Wenn du das ganze jetzt mit einer IP Adresse machst dann passt das wieder nicht zusammen und er meldet einen Zertifikatsfehler.
Da du ja von extern und intern eigentlich nicht die gleiche IP verwenden kannst musst du das per Domain Name machen der von extern und intern gleich ist machen.
Sonst hast du von einer Seite einen Zertifikatsfehler (außer es ist dir egal).
Das ist jetzt eine Seite. Hier könnte aber jeder einfach ein Zertifikat ausstellen und sich für was anderes ausgeben. Hier gibt's dann das zertifizierungsstellen Zertifikat. Das muss auf dem Rechner hinterlegt sein. Bei den kostenpflichtigen Anbietern ist das schon gemacht. Wenn du selbst ein's ausstellst musst du das selbst machen. In einer Domain kannst du das per GP verteilen. Und dann sollte das passen.
z.b. remote.*-**.de
Somit wenn du eine Webseite mit exakt diesem Namen aufrufst und der das Zertifikat hinterlegt hat dann stimmt soweit das Webzertifikat.
Wenn du das ganze jetzt mit einer IP Adresse machst dann passt das wieder nicht zusammen und er meldet einen Zertifikatsfehler.
Da du ja von extern und intern eigentlich nicht die gleiche IP verwenden kannst musst du das per Domain Name machen der von extern und intern gleich ist machen.
Sonst hast du von einer Seite einen Zertifikatsfehler (außer es ist dir egal).
Das ist jetzt eine Seite. Hier könnte aber jeder einfach ein Zertifikat ausstellen und sich für was anderes ausgeben. Hier gibt's dann das zertifizierungsstellen Zertifikat. Das muss auf dem Rechner hinterlegt sein. Bei den kostenpflichtigen Anbietern ist das schon gemacht. Wenn du selbst ein's ausstellst musst du das selbst machen. In einer Domain kannst du das per GP verteilen. Und dann sollte das passen.
Browser werden das Zertifikat zurückweisen, wenn die CA (Certificate Authority), die das Zertifikat ausgestellt hat NICHT vertrauenswürdig ist. Deine lokal installierte CA muss auf allen Clients in die Liste vertrauenswürdiger Stammzertifizierungsstellen aufgenommen werden.
Um sich diesen Aufwand zu sparen, kann man für seine Domain, unter der der entsprechende Server erreichbar ist, ein Zertifikat einer öffentlichen und anerkannten CA besorgen.
Wenn der im Zertifikat angegebene Allgemeine Name (CN) NICHT mit dem vollständigen Host/Domainnamen des Server übereinstimmt, wird der Client ebenfalls eine Warnung oder einen Fehler melden. Am besten ist es immer, sich eine feste IP für seinen Anschluss zu besorgen, für diese IP einen A-Eintrag im DNS anzulegen und einen DNS Reverse-Eintrag vom von der IP zurück auf den A-Eintrag beim Provider beauftragt.
Auszug DNS:
Nun beantragst du ein Zertifikat von einer öffentlichen CA (z.B. VeriSign, T-Systems, etc...) auf den CN intra.firma.de und installierst dieses auf dem Server. Die Eigenschaften des Zertifikates würden dann so in etwa aussehen:
Um sich diesen Aufwand zu sparen, kann man für seine Domain, unter der der entsprechende Server erreichbar ist, ein Zertifikat einer öffentlichen und anerkannten CA besorgen.
Wenn der im Zertifikat angegebene Allgemeine Name (CN) NICHT mit dem vollständigen Host/Domainnamen des Server übereinstimmt, wird der Client ebenfalls eine Warnung oder einen Fehler melden. Am besten ist es immer, sich eine feste IP für seinen Anschluss zu besorgen, für diese IP einen A-Eintrag im DNS anzulegen und einen DNS Reverse-Eintrag vom von der IP zurück auf den A-Eintrag beim Provider beauftragt.
Auszug DNS:
Im DNS des Webhosters der öffentlichen Firmendomain:
intra.firma.de. A 123.234.456.678
Reverse-Delegation der festen IP:
123.234.456.678 PTR intra.firma.de.
Nun beantragst du ein Zertifikat von einer öffentlichen CA (z.B. VeriSign, T-Systems, etc...) auf den CN intra.firma.de und installierst dieses auf dem Server. Die Eigenschaften des Zertifikates würden dann so in etwa aussehen:
Ausgestellt von
Verisignj Type 99 CA
Serial: 12345679890
Firma VeriSign blah...
---
Ausgestellt für
Antragsteller: Firma XY
Organisation: IT-Admin
Straße: irgendwas 3
PLZ: 12345
Ort: Examplestadt
Land: Deutschland
Person: IT-Abteilung XY
CommonName: intra.forma.de
Kontakt: mail@firma.de
Gültig bis: 01/2012
Ich muss auf jeden Fall bei meinem T-Business Zugang, über den mein SBS Server seine Internetverbindung hat, einen Hostnamen eintragen lassen der dem internen Domainnamen entspricht? also exakt den Sternchenteil von *.local
Nicht im öffentlichem Internet. Bitte versuche, wenn es auch nur irgendwie möglich ist eine öffentliche Domain zu nutzen. Einen A-Eintrag kannst du bei den meisten Providern direkt oder über die Hotline anlegen lassen.
Der Client MUSS das Zertifikat der Root-CA kennen UND der CN im Zertifikat MUSS mit dem öffentlichen Host/Domainnamen übereinstimmen.
Reverse-DNS brauchst du nicht zwingend, ist aber von Vorteil.
Du kannst auch ein Zertifikat auf die IP des Servers beantragen. Aber nicht alle CAs bieten das an.