Exchange Zertifikatsfrage

1. offizieller Beitrag

    Hallo!


    Wir sind auf dem Stand Exchange 2010 und brauchen ein passendes Zertifikat.
    Zugriff soll intern von Outlook, extern über OWA, ActiveSync und Outlook Anywhere möglich sein.
    Autodiscover soll auch funktionieren.
    Domänenzertifizierungsstelle ist vorhanden und es soll fürs erste ein handsigniertes Zertifikat sein, später VeriSign o.ä.


    Das Problem ist: wir haben nur eine dyndns.org-Adresse von außen, da wir keine Möglichkeit haben, eine feste IP in unserem Gebiet zu bekommen.


    Interne Domäne: domain.local
    Externe Domäne: domain.dyndns.org


    Wie bekommen wir das in den Griff, sodass es keine Zertifikatswarnungen mehr gibt:
    1. Jetzt mit dem selbserstellten Zertifikat
    2. Später mit einem gekauften Zertifikat (Welches wird in unserem Fall überhaupt benötigt)

    • Offizieller Beitrag

    Hallo Janikotto,


    warum solltet Ihr keine feste IP bekommen können? Seit Ihr noch mit Modem am Netz? :roll:


    Ansonsten: jeder DSL-Zugang kann mit fester IP betrieben werden, entweder Ihr bekommt sie direkt vom Provider oder über einen Drittanbieter wie http://www.tal.de


    Zertifikat: Wenn Ihr nicht an alle angeschlossenen Clients Euer eigenes Root-Zertifikat verteilen wollt, nehmt eines, das bei Microsoft registriert ist. Recht preisgünstig sind die von http://www.godaddy.com. Du brauchst ein Multiple Domain Certificate, weil Du ja neben mail.firma.de auch noch autodiscover.firma.de abdecken wollt. Web-Server, Terminalserver-Gateway wären weitere Einsatzzwecke, die mit einem Zertifikat abgedeckt werden könnten.

    Zitat


    Willmar schrieb:
    (...) entweder Ihr bekommt sie direkt vom Provider oder über einen Drittanbieter wie http://www.tal.de


    Okay, diese Info ist neu...
    Da wir an unserem Standort maximal DSL1000 bekommen - was für uns nicht ausreicht - sind wir auf einen Anbieter über Kabel angewiesen, welcher uns keine feste IP gibt.


    Welche adressen müssten wir denn alle abdecken?

    • Offizieller Beitrag

    Moin,


    die Drittanbieter gehen aber i.d.R. nur mit einem T-DSL-Anschluss. Wenn ihr bei einem Kabelanbieter seit, dann entweder den mal fragen (gegen einen Aufschlag/Business-Tarif) oder bei DynDNS bleiben - geht auch.


    Bei den Adressen hängt es hauptsächlich davon ab, ob Ihr die externe Domäne auch kontrolliert.


    Wenn ja, sollte folgendes rein:
    autodiscover.domäne.extern
    domäne.extern
    autodiscover.domäne.intern
    FQDN des Exchange

    So, wir haben das bei godaddy.com versucht, aber sie akzeptieren unseren Request nicht.


    autodiscover.domäne.extern
    domäne.extern
    autodiscover.domäne.intern
    FQDN des Exchange


    sind eingetragen, allerdings bekommen wir folgenden Fehler:


    \"You must use a fully-qualified primary domain name for UCC Certificate Request\".

    So, wir haben das Zertifikat-Request jetzt erfolgreich erstellt und eingereicht, allerdings ist das Problem, dass sie eine Anfrage schicken ob wir der Besitzer der Domain dyndns.org sind - sind wir ja nicht.


    Wäre es vielleicht möglich, eine Subdomain unserer Webseite auf die dyndns-Addresse weiterzuleiten und die Subdomain in das Zertifikat einzutragen - und wenn ja, was müssen wir beachten?

    • Offizieller Beitrag

    Moin,


    Du nimmst die Werte ins Zertifikat, die ich Dir oben geschrieben habe.


    Beim Verwalter der Zone "domäne.extern" machst Du für den Host "autodiscover" einen CNAME auf den Dyndns-Eintrag.


    Also:


    Zone: domäne.extern
    autodiscover CNAME xxxx.dyndns.org



    Du kannst das ja vorher mit einer internen PKI in Ruhe durchtesten, dann hast Du auch keine Probleme mit einem kostenpflichten, falschen Zertifikat. Wenn Du mit den internen Tests fertig bist, nimmst Du den letzten, funktionierenden Request und reichst den bei Godaddy ein. Danach das Zert in Exchange importieren und die Dienste zuweisen - fertig.