SSL Zertifikat für EAS/OWA/Autodiscover

Single ginge zwar, aber wird etwas mehr zu konfigurieren sein. UC spart Arbeit, kostet aber etwas mehr. Wenn du mehr als eine public IP hast, kannst du auch mit mehreren Single Zerts arbeiten.

Frontendserver gibts bei Exchange 2007 nicht und das hätte bei euch mit einem Reverseproxy (TMG) auch keinen wirklichen Vorteil.
Am einfachsten bekommst du die richtige Syntax mit sowas hier:
https://www.digicert.com/easy-csr/exchange2007.htm

Bye
Norbert

Zitat

Haihappen schrieb:

Also mit Frontendserver war gemeint, die CAS Rolle auf einen 2. Server zu installieren um die direkte Verbindung auf den Server mit der Datenbank usw. zu vermeiden.

Warum? Bei Exchange 2007 geht MAPI sowieso zum Mailboxserver. Du würdest also nur Outlook Anywhere und OWA/EAS entkoppeln.

Zitat

SO zumindest die Empfehlungen in dern Artikeln die ich gelesen habe. Wieso meinst du macht es keinen Sinn?

Ich habe nicht gesagt, dass es nicht sinnvoll ist, sondern in deiner Umgebung höchstwahrscheinlich ausser zusätzlichen Kosten nichts bringen würde.

Zitat

Der Reverse Proxy ist bis jetzt noch ein eigenes (Linux System) über welches wir bisher OWA zur Verfügung gestellt haben. Das kann prinzipiell auch weiter parallel exisiteren.

Nimm statt separatem CAS Server und Linux Reverse Proxy lieber ein TMG 2010 damit kannst du Exchange sehr sicher veröffentlichen und alles wird gut.

Zitat

Mir ist allerdings immer noch nicht klar, was denn nun alles im Zertifikat enthalten sein muss.

Das kommt drauf an.
Grundsätzlich von aussen gesehen:
autodiscover.deineexternedomain.tld
hostname.deineexternedomain.tld

Das wäre ausreichend.
Der Exchange selber benötigt je nach Konfiguration nur seine internen Namen (CAS Array/hostname)im internen Zertifikat. RobertWi kann dir das sicher besser erklären als ich. ;)Eventuell schaust du per Suchmaschine mal hier auf der Seite.

Bye
Norert

Moin,

höre ich meinen Namen? Cas-Array gibt es übrigens bei Ex2007 auch noch nicht.

Bei den Zertifikatsnamen kann ich nur immer wiederholen, was ich sonst auch sage: Ohne Analyse des Netzwerkes kann man keine verbindliche Aussage treffen.

Es geht ein Name (SplitDNS + SRV) bis X Namen - je nach Infrastruktur, Wunsch und Geld.

Diese Satz von Norbert beschreibt es recht gut: "Single ginge zwar, aber wird etwas mehr zu konfigurieren sein. UC spart Arbeit, kostet aber etwas mehr."

Zitat

Haihappen schrieb:
so wie ich es bis jetzt verstanden habe sollte doch ein Single SSL Zert für EAS und Outlookanywhere ausreichen??

Ja, bei SplitDNS-Betrieb reicht ein Single Name aus. Dann muss noch ein SRV für Autodiscover gesetzt werden, siehe:

http://www.server-talk.eu/2008…-single-name-certificate/

Zitat

OWA kann ja erstmal unangetastet bleiben.

Warum? Da OWA über den gleichen Kanal läuft, wäre es dann miterschlagen. Das ist ja das nette am CAS-Konzept: Egal, welches Gerät, der Benutzer kennt nur einen Namen für den Zugriff.

Zitat

New-ExchangeCertificate -GenerateRequest -Path c:\gate_Firma_de.csr -KeySize 2048 -SubjectName "c=de, s=, l=, o=Firma, cn=gate.Firma.de" -DomainName autodiscover.Firma.de, Mailservername, Mailservername.Firma.lokal -PrivateKeyExportable $True

Das sind dann allerdings drei Namen in dem Zertifikat:
autodiscover.Firma.de
Mailservername
Mailservername.Firma.lokal

"Mailserver" (also der kurze Netbios-Name) wird von Exchange nicht benötigt, den nutzen nur Tippfaule Admins und User.

Zitat

Wann genau benötige ich denn einen SRV Eintrag?

Siehe oben, um die URL "autodiscover.xxx" wegzubekommen.

Zitat

Zur Erläuterung, wir haben mehrere öffnetliche IP's. Über eine Davon läuft zur Zeit OWA wie gesagt über einen Linux Proxy. Das würde ich eigentlich unangetastet lassen und die Systeme dann später konsolidieren.

IP-Adressen spielen ja für das Zertifikat keine Rolle.

Du hast dann nur das "Problem", dass die Benutzer zwei Adressen können müssen, eine für OWA und eine für den Rest. Und das ist halt nicht notwendig.