Hallo,
ich klinke mich hier mal ein, um einem Kollegen unter die Arme zu greifen, der ein paar Probleme mit Exchange 2010 und SSL-Zertifikaten hat.
Grundsätzlich wird doch ein selbstsigniertes SSL-Zertifikat bei der Installation von SBS2011/Exchange erstellt, das von Haus aus erstmal funktioniert.
Nach einem Jahr läuft das Zertifikat ab und kann verlängert werden.
Ich habe mich parallel versucht einzulesen; konnte aber nur folgendes feststellen: Wenn man ein Zertifikat verlängert, wird ein neues mit den Daten des alten erstellt; der Thumbprint ändert sich aber - es ist also ein "neues Zertifikat".
Die Clients kriegen dann, wenn für Smtp, Imap, POP und IIS aktiviert, eine Zertifikatwarnung - wenn man das Zertifikat am Client installiert, läuft es erstmal soweit.
Nun wollten wir uns ein SSL-Zertifikat von StartSSL besorgen. Jetzt, mit erheblichem Aufwand für Class 2 Identifiy und Organization-Validation sind wir soweit, ein Zertifikat erstellen zu können.
Nun das blöde: Ich kann nur öffentliche Domänen im Zertifikat eintragen - also webmail.domain.de, aber nicht server.local.
Anscheinend ist das auch bei anderen Anbietern von SSL-Zertifikaten so, sodass meine jetzige Frage folgende ist:
- Wie löst man das normalerweise im Firmenumfeld? Gibt es eine Möglichkeit, ggf. intern mit einem selbsterstellten Zertifikat zu arbeiten, und von Extern mit einem öffentlich signiertem?
Auch lassen sich doch bestimmt die Zertifikate über Gruppenrichtlinien an die Clients ausbringen, oder? Sodass man bei einer Änderung des selbstsignierten Zertifikats nicht an jedem Client das Zertifikat manuell installieren muss?
Vielen Dank für eure Hilfe,
Bastian