Zertifikate extern/intern

1. offizieller Beitrag

    Hallo,


    mir geht es aktuell um die Frage welche (sub)Domains man extern zertifizieren sollte und welche mal selbst intern ausstellen kann, bzw. ob das überhaupt die übliche Vorgehendsweise ist. Genutzt werden soll owa, activeSync, ggf. POP/IMAP und wärend der Migration von 2003 Legacyunterstützung. Was trägt man hier intern alles ein, was extern? Welche Adressen überhaupt schlussendlich benötigt werden muss man ja schon vorher wissen bevor man bei GoDaddy (Ucc->SAN) eins beantragt oder?


    Mein Problem ist inzwischen das ich 100te von Anleitungen gesehen habe und 50% was anderes machen. Dadurch das von 2003 migriert wird, ein komplett neues Zert für intern und extern her muss kommt eben alles auf einmal zustande.


    Habe schon öfters nun gesehen in Anleitungen das viele interne und externe mixen, wie soll GoDaddy interne zertifizieren ohne das von auserhalb Zugriff möglich ist? Auf den Webserver der Domain bereitstellen?



    Hier die aktuelle Liste was ich mir notiert habe, vor lauter Domainflut blicke ich nicht mehr ganz durch. Fehlen hier welche um alle Bereiche des Exchange2010 abzudecken oder welche sind überflüssig?


    Externe (externe Domain DOMAIN.de) :
    owa.DOMAIN.de
    legacy.DOMAIN.de


    auserdem habe ich mir aus anderen Quellen notiert aber selbst nichts mit gemacht:
    autodiscover.DOMAIN.de


    autodiscover.intern.DOMAIN.de <-- ?
    legacy.intern.DOMAIN.de <--?


    Interne (interne Domain DOM.loc) :


    ca.DOM.loc
    legacy.DOM.loc
    mail.DOM.loc
    srvmail2010.DOM.loc
    autodiscover.DOM.loc
    legacy.DOM.loc
    DOM.loc


    Intern bräuchte ich ja nur mail.DOM.loc/legacy.DOM.loc bzw. ein Alias mit einfach nur "https://mail" ?!!?


    Zum Zertifikat selbst wäre es doch gut wenn wir gleich unseren Lync mit reinpacken würden oder? GoDaddy sagt ja bis zu 5/10/20 Domains im Sparpaket.


    Kann bei einer Domain die nicht im Zertifikat vorhanden ist es passieren das owa über legacy nicht weiterleitet? Fehlermeldung hier: http://legacymail.#externeDomain#/exchweb/bin/auth/owaauth.dll "Diese Seite kann nicht angezeigt werden"


    Die ganze Zertifikatsgeschichte ist für mich ein Graus. In meiner Textumgebung nicht richtig testfähig und ich verstehe es einfach nicht.

    • Offizieller Beitrag

    Moin,


    Zitat


    Mein Problem ist inzwischen das ich 100te von Anleitungen gesehen habe und 50% was anderes machen. Dadurch das von 2003 migriert wird, ein komplett neues Zert für intern und extern her muss kommt eben alles auf einmal zustande.



    Korrekt.


    Und das liegt daran, dass das Thema zu komplex ist, um es in einem Forum zu behandeln und zu viele Variablen hat, um eine allgemeingültige Anleitung zu verfassen.


    Ohne passende Vorerfahrung, Wissen über das Netzwerk, welche URLs benötigt sind und welche man konfigurieren kann, wird auch hier eine Hilfe schwer.


    Die möglichen Antworten lauten: Zwischen 1 und N.


    Zitat


    Die ganze Zertifikatsgeschichte ist für mich ein Graus. In meiner Textumgebung nicht richtig testfähig und ich verstehe es einfach nicht.


    Dann hol Dir jemanden ins Haus, der es Dir erklärt und gleichzeitig noch Deine Anforderungen umsetzt. Dann erschlägst Du zwei Fliegen mit einer Klappe: Du lernst was und hast am Ende eine saubere Umgebung (und jemanden, den Du bei Fehlern ansprechen kannst). :)

    Es betrifft hierbei wirklich nur die Zertifikate und die Zugriffsmöglichkeiten neben owa, also activeSync, ggf. POP/IMAP.


    z.B. die Frage ob legacy auch für die externe Domain genommen wird damit diese richtig durchroutet?


    Und ob/wie man eine interne URL mit ins GoDaddy Zert packt, was ist da Best Practice?


    Man packt das interne sowie externe Zert in Exchange?


    Ich hoffe es kann mir hierbei doch einer helfen.

    • Offizieller Beitrag

    Moin,


    Zitat


    Es betrifft hierbei wirklich nur die Zertifikate und die Zugriffsmöglichkeiten neben owa, also activeSync, ggf. POP/IMAP.


    Das ist nicht "nur", Zertifikate sind elementar, ohne die funktioniert Outlook eventuell gar nicht und auch beid er Bedienung des Exchange selbst kann es Probleme geben.


    Zitat


    z.B. die Frage ob legacy auch für die externe Domain genommen wird damit diese richtig durchroutet?


    Wie gesagt, kann Dir niemand ohne Hintergrundwissen über Deine Infrastruktur verbindlich eine Auskunft geben. Wahrscheinlich muss sie rein, ich kenne aber auch Szenarien, wo man sie vernachlässigen kann.


    Zitat


    Und ob/wie man eine interne URL mit ins GoDaddy Zert packt, was ist da Best Practice?



    Die meisten Registrare lehnen eine interne oder ungeültige URL im Zertifikat mittlerweile ab.


    Zitat


    Man packt das interne sowie externe Zert in Exchange?
    Ich hoffe es kann mir hierbei doch einer helfen.


    Man kann nur ein Zertifikat für HTTPS in Exchange packen, wenn man sehr viel verbiegen will. Das liegt am Protkoll HTTPS.

    Na das hilft mir doch schon einen Schritt.


    Infrastruktur ist recht simpel. Firewall (-> Ex2010) -> Ex2003


    Ok eine interne URL wird abgelehnt. Aber wie packe ich dann das Zert von GoDaddy und mein selbst erstelles (durch internen CA) in den Exchange wenn ich nur eines einbinden kann? owa wird intern ja ebenfalls über https angesprochen.



    Bezüglich Domains. Das Zert kann man ja sicherlich heutzutage erweitern oder? Also wenn mir noch eine blah.DOMAIN.de einfällt könnte man dies in mein Paket einbinden oder würde das erneute Kosten (komplett neu?) verursachen?

    • Offizieller Beitrag
    Zitat


    Ok eine interne URL wird abgelehnt. Aber wie packe ich dann das Zert von GoDaddy und mein selbst erstelles (durch internen CA) in den Exchange wenn ich nur eines einbinden kann? owa wird intern ja ebenfalls über https angesprochen.


    Wie gesagt: Das ist nicht mit zwei Sätzen erklärt. Du kannst z.B. Split DNS verwenden und intern und extern den gleichen Namen benutzen. Du könntest aber auch einen Proxy für Extern davor schalten, der das externe Zertifikat hat und Exchange nutzt nur das interen.


    Zitat


    Bezüglich Domains. Das Zert kann man ja sicherlich heutzutage erweitern oder? Also wenn mir noch eine blah.DOMAIN.de einfällt könnte man dies in mein Paket einbinden oder würde das erneute Kosten (komplett neu?) verursachen?


    Nein, man kann ein Zertifikat nicht nachträglich erweitern. Man müsste dann ein neues kaufen, in dem die korrekten Namen drin sind.

    Hallo,


    habe nun auch eine Möglichkeit hier gesehen, kann aber nicht ganz nachvollziehen wie das klappen soll. Das mit einem Zertifikat ist klar, trotzdem suche ich händeringend eine praktikable Lösung um nicht extra Forefront(o.ä) extra einsetzen zu müssen nur wegen einem Zertifikat.


    Set-ClientAccessServer -Identity "owa.firma.loc" -AutodiscoverServiceInternalUri https://owa.firma.de/Autodiscover/Autodiscover.xml
    Set-WebServicesVirtualDirectory -Identity "owa.firma.loc\EWS (Default Web Site)" -InternalUrl https://owa.firma.de/EWS/Exchange.asmx
    Set-OABVirtualDirectory -Identity "owa.firma.loc\OAB (Default Web Site)" -InternalUrl https://owa.firma.de/OAB


    ***
    Ist das machbar so?


    Noch eine kleine Nebenfrage: Ein Alias oder A-Eintrag auf den Exchangeserver (Ip oder Name) erkennt er nicht bei solchen -Identity Geschichten. Sagt immer das der Domaincontroller den Eintrag dazu nicht gefunden hat. "ExchangeServerName\EWS" funktioniert aber. Alias oder A-Eintrag ist aber sicher drin, anpingbar usw.

    Danke für den Hinweis.


    Leider haben wir nicht die gleichen Domainnamen intern & extern. Ohne die gleichen Namen funktioniert das ja nicht oder?