Frage zu Zertifikaten

    • Offizieller Beitrag

    Wenn Du über eine Windows-CA Zertifikate ausstellst, dann musst Du lediglich das Zertifikat der CA an die Clients verteilen. Dann vertrauen die Clients diesem Zertifikat.


    Nur wenn Du richtig von Extern zugreifen willst, ist das nicht so einfach mit der eigenen CA. Wenn Du weißt, welche Clienst -> kein Problem. Stammstellen-Zertifikat importieren. Wenn nicht -> musst Du ein Zertifikat kaufen.


    Das Problem an dieser Fragstellung ist: Es gibt mehrere Weg, um das Problem zu lösen, aber keinen pauschal richtigen. Ich persönlich habe ein SAN einer eigenen PKI und da ich fast nur Outlook Anywhere mache, die Stammstelle importiert. Für einen Kunde von mir, der sehr viel internen und externen OWA macht und so gut wie kein Outlook Anywhere hat ein SAN gekauft. Bei einem dritten Kunden haben wir den IIS (mit ISA) so angepasst, dass Autodiscover und OWA auf zwei verschiedenen Websites mit unterschiedlichen IP-Adressen laufen und damit mit zwei getrennten Zertifikaten (ein eigenes, ein gekauftes).


    Bei diesen Problemen kann man eigentlich nur helfen, wenn man ganz genau weiß, um welche Infrastruktur, welche Domänen (das wird durch die Unsitte erschwert, dass hier jeder nur mit "Pseudo"-Domäns fragt und dabei oft Fehler entstehen) und welche Installationen es geht.

    Alllso.


    Owa sollte von überall aus gehen, kann ich aber zur not mit leben wenn eine Zertifikatswarnung ausgegeben wird, da es nur eine Notlösung darstellt.


    Outlook Anywhere soll NUR von Laptops funktionieren die 3 Tage die Woche hier in der domäne lokal betrieben werden, und nur zu Kundenbesuchen mitgeschleppt werden. Sie hängen also alle an meinem Server und ich kann sie Alle administrieren.


    meine domäne ist wirklich
    firmenname.local intern
    und
    firmen-name.dyndns.org extern


    Was würde ein Cert denn kosten und welches brauche ich für mein gewünschtes Vorgehen??

    • Offizieller Beitrag

    Mit den Domänen-Namen kannst Du keine Zertifikate kaufen (mit ein wenig Tricksen für die Dnydns-Domain, aber nicht für die .intern-Domain.).


    Wenn Du bei OWA mit dem unschönen Fehler leben kannst, da baue Dir ein Zertifikat für die .intern-Domain. Das entspricht dann dem Modell, dass ich auch benutze.


    Ansonsten musst Du Dir eine echte externe Domäne kaufen, am besten eine, wo Du auch DNS richtig pflegen kannst (kostet nur wenige Euro pro Monat). Dafür kannst Du z.B. bei Startcom ein kostenloses Zertifikat bekommen. Damit ist der externe Teil sauber, aber intern gibt es immer noch einen Fehler.


    Richtig gelöst bekommst Du das Problem aber nicht, da dafür die Domänen falsch benannt sind.

    Also wäre meine Option eigentlich nur,
    das zert wieder auf den Internen host zu erstellen, Bei owa von extern mit dem Fehler zu leben und auf Outlook Anywhere zu verzichten

    • Offizieller Beitrag

    Outlook Anywhere und OWA funktionieren fehlermeldungsfrei, wenn Du das Stammstellen-Zertifikat als vertrauenswürdig importierst.


    Bei Outlook Anywhere kein Problem, da Du die Rechner kennst. Bei OWA aber nur begrenzt möglich, da der Rechner ja nicht vorher feststeht. Du kannst das Stammstellen-Zertifikat (natürlich nur den öffentlichen Schlüssel) zum Download zur Verfügung stellen mit einer kleinen Anleitung. Dann können Externe sich das selbst importieren.


    Das ist zwar nicht schön, aber die Verschlüsselung funktioniert natürlich trotzdem.

    Das stammstellen zert ist doch schon dadurch übertragen dass die Rechner in meiner domäne sind.
    Aber ich bekomme ja dann die Fehlermeldung bzw Outlook Anywhere funzt bei mir nicht da das Zertifikat auf firma.local läuft, ich mich aber mit firma.dyndns.org verbinden möchte.

    • Offizieller Beitrag

    Da Du das Zertifikat selbst erstellst, baust Du Dir ein neues, in dem der interne und der externe Name enthalten ist.


    Da dieses Zertifiukat von Deiner PKI ausgestellt wird, bekommst Du es in allen Clients, die Du direkt betreuen kannst, vertrauenswürdig.


    Hier lesen: http://technet.microsoft.com/de-de/library/aa995942.aspx

    Ok den link hat mir gestern ja auchschon jemand gepostet, ich komme allerdings mit der zeile nicht ganz klar.



    Zitat

    New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt


    Cas01 ist wohl immer zu ersetzen durch den Namen meines Exchangeservers
    contonso.com in dem Falle wohl durch meine interne domäne(firmenname.local) aber an welcher stelle füge ich den externen Namen ein, in meinem falle firmenname.dyndns.org ??