figment
Goto Top

Zusammenhang Domänenname intern, feste IP, Reverse Lookup und Zertifikat

ich habe jetzt etliche Beiträge, auch bei MXFAQ gelesen und bin nicht schlauer als vorher, ich verstehe den Zusammenhang nicht, bzw. habe ich wohl zuviel gelesen und bin völlig durcheinander.

Da ich einen permanenten Zertifikatsfehler beim externen Zugriff mit meinem Outlook 2007 auf meinen firmeninternen Exchangeserver (SBS 2008) habe, würde ich gern ein paar grundsätzliche Dinge verstehen, die ich schon dachte begriffen zu haben.

Also:

- https:/..../owa und https:/..../remote funktionieren, allerdings mit roter Adressleiste im IExplorer 8
- der Zugriff auf den Server oder andere Rechner wird mit Zertifikatsfehler verweigert
- die externe Einbindung meines iPod Touch mittels Exchange hat hervorragend funktioniert, ich habe einfach die feste IP die ich vom IP (T-COM) habe eingetragen, ohne irgendwelche Zusätze

Wie verhält sich das mit dem internen Domänennamen, bzw. Servernahmen und der festen IP bzw. den komischen Namen den ich bei reverse ns lookup erfahre ( p*.dip0.t-ipconnect.de) im Zusammenhang mit einem selbst ausgestellten Zertifikat?

es gibt den Antragssteller und den Aussteller, bei beiden steht was anderes drin:

1. *-SERVER1-CA
2. remote.*-
**.de

wobei bei 1. der interne Domänenname steht (der SBS Server heißt SERVER1)
und bei 2. meine Firmenwebsite, die auch bei der Telekom gehostet ist, aber natürlich etwas anders heisst.

Offensichtlich habe ich da am Anfang bei der Einrichtung des Servers etwas falsch verstanden und bestimmt einen falschen Eintrag irgendwo gemacht?!?

Denn meine feste IP für den Internetzugang meiner Firma hat ja rein garnichts mit der gehosteten Website zu tun.

Was ist da falsch???

Content-ID: 134798

Url: https://administrator.de/forum/zusammenhang-domaenenname-intern-feste-ip-reverse-lookup-und-zertifikat-134798.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

wiesi200
wiesi200 31.01.2010 um 16:38:32 Uhr
Goto Top
Du stellst ein Zertifikat für einen Namen bzw. IP aus.
z.b. remote.*-**.de
Somit wenn du eine Webseite mit exakt diesem Namen aufrufst und der das Zertifikat hinterlegt hat dann stimmt soweit das Webzertifikat.
Wenn du das ganze jetzt mit einer IP Adresse machst dann passt das wieder nicht zusammen und er meldet einen Zertifikatsfehler.

Da du ja von extern und intern eigentlich nicht die gleiche IP verwenden kannst musst du das per Domain Name machen der von extern und intern gleich ist machen.
Sonst hast du von einer Seite einen Zertifikatsfehler (außer es ist dir egal).

Das ist jetzt eine Seite. Hier könnte aber jeder einfach ein Zertifikat ausstellen und sich für was anderes ausgeben. Hier gibt's dann das zertifizierungsstellen Zertifikat. Das muss auf dem Rechner hinterlegt sein. Bei den kostenpflichtigen Anbietern ist das schon gemacht. Wenn du selbst ein's ausstellst musst du das selbst machen. In einer Domain kannst du das per GP verteilen. Und dann sollte das passen.
datasearch
datasearch 31.01.2010 um 16:41:59 Uhr
Goto Top
Browser werden das Zertifikat zurückweisen, wenn die CA (Certificate Authority), die das Zertifikat ausgestellt hat NICHT vertrauenswürdig ist. Deine lokal installierte CA muss auf allen Clients in die Liste vertrauenswürdiger Stammzertifizierungsstellen aufgenommen werden.

Um sich diesen Aufwand zu sparen, kann man für seine Domain, unter der der entsprechende Server erreichbar ist, ein Zertifikat einer öffentlichen und anerkannten CA besorgen.

Wenn der im Zertifikat angegebene Allgemeine Name (CN) NICHT mit dem vollständigen Host/Domainnamen des Server übereinstimmt, wird der Client ebenfalls eine Warnung oder einen Fehler melden. Am besten ist es immer, sich eine feste IP für seinen Anschluss zu besorgen, für diese IP einen A-Eintrag im DNS anzulegen und einen DNS Reverse-Eintrag vom von der IP zurück auf den A-Eintrag beim Provider beauftragt.

Auszug DNS:
Im DNS des Webhosters der öffentlichen Firmendomain:
intra.firma.de.   A   123.234.456.678

Reverse-Delegation der festen IP:
123.234.456.678  PTR  intra.firma.de.

Nun beantragst du ein Zertifikat von einer öffentlichen CA (z.B. VeriSign, T-Systems, etc...) auf den CN intra.firma.de und installierst dieses auf dem Server. Die Eigenschaften des Zertifikates würden dann so in etwa aussehen:

Ausgestellt von
Verisignj Type 99 CA
Serial: 12345679890
Firma VeriSign blah...
---
Ausgestellt für 
Antragsteller: Firma XY
Organisation: IT-Admin
Straße: irgendwas 3
PLZ: 12345
Ort: Examplestadt
Land: Deutschland
Person: IT-Abteilung XY
CommonName: intra.forma.de
Kontakt: mail@firma.de
Gültig bis: 01/2012
Figment
Figment 31.01.2010 um 17:03:06 Uhr
Goto Top
Vielen Dank für die ausführlichen Antworten.

Ich fasse mal kurz zusammen was ich verstanden habe:

Ich muss auf jeden Fall bei meinem T-Business Zugang, über den mein SBS Server seine Internetverbindung hat, einen Hostnamen eintragen lassen der dem internen Domainnamen entspricht? also exakt den Sternchenteil von *.local

auf meinem Kundencenter sieht das so aus:

Sie können jederzeit Hostnamen zum Reverse Mapping hinzufügen oder bereits beauftragte Hostnamen ändern oder aus dem Reverse Mapping löschen, sofern der >Bearbeitungsstatus auf "Aktiv" steht.
> Reverse Mapping für Hostname ändern
> Reverse Mapping für Hostname löschen
>
In der nebenstehenden Tabelle werden alle über das
DSL Business Kundencenter beauftragte Reverse Mappings aufgelistet. Evtl. über einen anderen Weg (nicht über das Kundencenter) beauftragte Reverse Mappings >werden in der Tabelle nicht aufgelistet und können auch nicht über das Kundencenter geändert oder gelöscht werden.
Voraussetzung für die Beauftragung ist, dass der Hostname bereits auf Ihre feste IP-Adresse (vorwärts) aufgelöst werden kann.
BeauftragteReverse Mappings : : Hostname :: Bearbeitungsstatus *)
p.dip0.t-ipconnect.de Aktiv

Der hier eingegebene Hostname muss bereits auf Ihre feste IP-Adresse aufgelöst werden können.

das heist ich brauche dafür kein extra Hosting sondern muss diesen Reverse Namen eintragen lassen. UND zusätzlich warscheinlich überhaupt einen A-Record Eintrag?
Denn bisher gibt es ja nur die feste IP als Nummer und das ist ja wohl kein FQDN, also der A-Record ist dann der FQDN?
Das ist vermutlich jetzt dieses p
.dip0.t-ipconnect.de

Abfrage bei Networktools:
Type Domain Name IP Address TTL
A p*.dip0.t-ipconnect.de *.*.116.99 24 hrs
datasearch
datasearch 31.01.2010 um 17:11:29 Uhr
Goto Top
Ich muss auf jeden Fall bei meinem T-Business Zugang, über den mein SBS Server seine Internetverbindung hat, einen Hostnamen eintragen lassen der dem internen Domainnamen entspricht? also exakt den Sternchenteil von *.local

Nicht im öffentlichem Internet. Bitte versuche, wenn es auch nur irgendwie möglich ist eine öffentliche Domain zu nutzen. Einen A-Eintrag kannst du bei den meisten Providern direkt oder über die Hotline anlegen lassen.

Der Client MUSS das Zertifikat der Root-CA kennen UND der CN im Zertifikat MUSS mit dem öffentlichen Host/Domainnamen übereinstimmen.

Reverse-DNS brauchst du nicht zwingend, ist aber von Vorteil.

Du kannst auch ein Zertifikat auf die IP des Servers beantragen. Aber nicht alle CAs bieten das an.
Figment
Figment 31.01.2010 um 17:20:44 Uhr
Goto Top
Aha, also auf keinen Fall den internen Domänennamen. Aber welche öffentliche Domain? Die sind doch dann woanders als A-Record eingetragen oder?
Das ist genau das was ich nicht verstehe, da bin ich irgendwie grade blockiert.

Also den A-Record ändern kann ich direkt bei T-Com beauftragen, das ist das geringste Problem, diesen Teil verstehe ich ja, warscheinlich kann ich da auch ein Zertifikat beauftragen, ist ja schließlich der "Business-Zugang" ;)
Figment
Figment 31.01.2010 um 17:46:09 Uhr
Goto Top
oder nehme ich irgendeinen Fantasienamen den es noch nicht gibt?

ich glaube so langsam werde ich fündig:

Verwenden einer internen eigenständigen Domäne
Wenn Sie die interne Domäne nicht als untergeordnete Domäne der externen Domäne konfigurieren können, verwenden Sie eine eigenständige interne Domäne. Auf diese Weise besteht kein >Zusammenhang zwischen den internen und externen Domänennamen. Eine Organisation mit dem Domänennamen contoso.com für den externen Namespace verwendet beispielsweise den Namen >contoso01-int.com für den internen Namespace.

Der Vorteil dieses Ansatzes besteht darin, dass Sie einen eindeutigen internen Domänennamen erhalten. Der Nachteil ist hingegen, dass Sie zwei separate Namespaces verwalten müssen. Darüber hinaus >kann die Verwendung einer eigenständigen internen Domäne, die nicht in Beziehung zur externen Domäne steht, zu Verwirrung bei Benutzern führen, da die Namespaces keinen Bezug zwischen den >Ressourcen innerhalb und außerhalb des Netzwerks widerspiegeln. Zudem müssen Sie zwei DNS-Namen bei einer Internetnamensstelle registrieren.


damit ist ja klar, das sich die Telekom um meinen Internetauftritt unter www.meineFirma.de und die DNS Verwaltung kümmert, mein T-DSL Business Zugang kümmert sich um die DNS Auflösung Fantasiename.de und feste IP
und mein Server SBS kümmert sich dann um die interne DNS Auflösung wenn also eine Anfrage ála remote.Fantasiename.de von extern kommt.

verstehe ich das jetzt richtig?

EDIT:

ich kann offensichtlich auch folgendes verwenden:

z.B. home.meineFirma.de

das heist das diese Adresse anders aufgelöst wird als www.meineFirma.de und über den A-Record Eintrag die 2 unterschiedlichen IP Adressen vom DNS Server auf Anfrage gesendet werden.
Das schafft dann wohl Klarheit und ist einfacher zu merken als wenn man 2 unterschiedliche Namen für eine Firma hat.
Nun habe ich das fetteste Problem, mein interner DNS Raum heisst *.de, also nach den Namenskonventionen die Microsoft für Servereinrichtung empfiehlt leider falsch, weil ich damit die oberste Ebene der Hierarchie benutze. Da hat man mich leider falsch beraten.

Oh Mann, Server neu aufsetzen??