SSL-Zertifikat; ein paar allgemeine Fragen

1. offizieller Beitrag

    Hallo,


    ich klinke mich hier mal ein, um einem Kollegen unter die Arme zu greifen, der ein paar Probleme mit Exchange 2010 und SSL-Zertifikaten hat.


    Grundsätzlich wird doch ein selbstsigniertes SSL-Zertifikat bei der Installation von SBS2011/Exchange erstellt, das von Haus aus erstmal funktioniert.


    Nach einem Jahr läuft das Zertifikat ab und kann verlängert werden.


    Ich habe mich parallel versucht einzulesen; konnte aber nur folgendes feststellen: Wenn man ein Zertifikat verlängert, wird ein neues mit den Daten des alten erstellt; der Thumbprint ändert sich aber - es ist also ein "neues Zertifikat".


    Die Clients kriegen dann, wenn für Smtp, Imap, POP und IIS aktiviert, eine Zertifikatwarnung - wenn man das Zertifikat am Client installiert, läuft es erstmal soweit.


    Nun wollten wir uns ein SSL-Zertifikat von StartSSL besorgen. Jetzt, mit erheblichem Aufwand für Class 2 Identifiy und Organization-Validation sind wir soweit, ein Zertifikat erstellen zu können.


    Nun das blöde: Ich kann nur öffentliche Domänen im Zertifikat eintragen - also webmail.domain.de, aber nicht server.local.


    Anscheinend ist das auch bei anderen Anbietern von SSL-Zertifikaten so, sodass meine jetzige Frage folgende ist:
    - Wie löst man das normalerweise im Firmenumfeld? Gibt es eine Möglichkeit, ggf. intern mit einem selbsterstellten Zertifikat zu arbeiten, und von Extern mit einem öffentlich signiertem?


    Auch lassen sich doch bestimmt die Zertifikate über Gruppenrichtlinien an die Clients ausbringen, oder? Sodass man bei einer Änderung des selbstsignierten Zertifikats nicht an jedem Client das Zertifikat manuell installieren muss?


    Vielen Dank für eure Hilfe,
    Bastian

    • Offizieller Beitrag

    Moin,


    das Thema ist eigentlich zu komplex, um es individuell in einem Forum zu besprechen. Zumal es mehrere Lösungen gibt, die von der Infrastruktur vor Ort abhängen.


    Für Deine Frage gibt es im Prinzip zwei Möglichkeiten:


    - Split-DNS verwenden
    - einen Proxy nach außen einsetzen


    Bei Split-DNS hast Du intern und extern den gleichen Namen. Die Zone gibt es also im internen und externen DNS. Nur dass es von beiden unterschiedliche IP-Adressen gibt. Vom externen die externe (endet auf der Firewall) und vom internen die interne (endet am Exchange/LB).


    Diese Variante ist die offiziell empfohlene und sie hat einige Vorteile:
    - die Anwender merken sich nur einen Namen (weniger Komplexität),
    - da Du das gekauft Zert überall einsetzt, muss bei den Clients nichts geändert werden (was bei Nicht-Domänen-Clients echt Arbeit sein kann).


    Alternativ kannst Du mit zwei Zertifikaten arbeiten:
    - Exchange hat das interne
    - am Proxy liegt das externe


    Wichtig: Echte Self-Signed Zertifikate sind eigentlich nicht komplett supported. Wenn intern, dann lieber eine interne PKI aufbauen und vor dort signieren lassen. Dann muss nur das Root-CA-Cert verteilt werden und man kann beliebig neue Certs bauen, auch für Router, Makrosigning, usw.

    Hallo,


    was ich nicht verstehe:
    Warum ist das so kompliziert?


    Wir haben keine Kunden mit 3000 Mitarbeitern, sondern hauptsächlich keine Workgroups mit max. 50 Usern, die Regel ist eher 10 User mit einem SBS.


    Und für solche Szenarien gibt es keine ordentliche, einfache und kostengünstige Möglichkeit, intern wie extern mit einem signierten Zertifikat zu arbeiten?


    Ich meine, ein selbstsigniertes zu erstellen und an 10 Plätzen einzutragen ist schnell von der Hand; aber nervt und muss doch auch "ordentlich" und zentral gehen.


    Split-DNS hört sich für mich einfach umzusetzen an - scheint mir aber keine sooo saubere Lösung zu sein.


    Und die Sache mit den Proxys sprengt für unsere Zwecke vermutlich den Rahmen.


    Ich vermute, auf einem Server beim Kunden eine eigene CA zu installieren, dort Zertifikate auszustellen und diese per GPO (zumindest das Root-CA) zu verteilen, ist noch die "ordentlichste" Variante für unsere Zwecke?

    • Offizieller Beitrag
    Zitat


    neovanmatix schrieb:
    Hallo,
    was ich nicht verstehe:
    Warum ist das so kompliziert?


    Es ist kompliziert, weil du es nicht verstehst. Technisch ist das relativ simpel, man muss es nur einmal verstanden haben.
    Das hat auch wenig mit der Größe zu tun, der Grundauffassung ist einfach immer etwas höher. Bei kleinen Installationen ist Split-DNS eigentlich die sauberste Konfiguration in meinen Augen. Wie kommst du zu deiner Aussage?


    Bye
    Norbert

    • Offizieller Beitrag
    Zitat


    Warum ist das so kompliziert?


    Weil Du als Windows- und Exchange-Admin keine Ahnung von Zertifikaten hast, weil Du das Thema bis Exchange 2007 i.d.R. nicht brauchtest.


    Berede das Thema mal mit einem Linux-Admin: Für den ist das vollkommen normal und selbstverständlich und der versteht auch sofort, wie Zertifikate funktionieren.


    Zitat


    Wir haben keine Kunden mit 3000 Mitarbeitern, sondern hauptsächlich keine Workgroups mit max. 50 Usern, die Regel ist eher 10 User mit einem SBS.
    Und für solche Szenarien gibt es keine ordentliche, einfache und kostengünstige Möglichkeit, intern wie extern mit einem signierten Zertifikat zu arbeiten?


    Doch, z.B. Split-DNS.


    Aber was ich nicht verstehe: Wenn Du Kunden hast, anscheinend mehrere, und immer wieder das Problem hast: WARUM beschäftigst Du Dich nicht mal ordentlich damit? Einmal, zwei Tage und das Thema sitzt und Du hast beim Kunden einen besseren Stand.


    Zitat


    Ich meine, ein selbstsigniertes zu erstellen und an 10 Plätzen einzutragen ist schnell von der Hand; aber nervt und muss doch auch "ordentlich" und zentral gehen.


    Natürlich geht das. Und die Self-Sigened ist eh nicht supported und ich freue mich auf den Tag, an dem ein kleines Windows Update dazu führt, dass es nicht mehr funktioniert.


    Zitat


    Split-DNS hört sich für mich einfach umzusetzen an - scheint mir aber keine sooo saubere Lösung zu sein.


    Was ist den daran nicht sauber? Du brauchst einen einzigen Eintrag im DNS und für alle wird es danach leichter.


    Zitat


    Und die Sache mit den Proxys sprengt für unsere Zwecke vermutlich den Rahmen.
    Ich vermute, auf einem Server beim Kunden eine eigene CA zu installieren, dort Zertifikate auszustellen und diese per GPO (zumindest das Root-CA) zu verteilen, ist noch die "ordentlichste" Variante für unsere Zwecke?


    Geht aber nicht intern, nicht extern. Für Externe gibt es dann eine Zertifikatswarnung und je nach Client wird es aufwendig, die Warnung zu beheben.

    Zitat

    Aber was ich nicht verstehe: Wenn Du Kunden hast, anscheinend mehrere, und immer wieder das Problem hast: WARUM beschäftigst Du Dich nicht mal ordentlich damit? Einmal, zwei Tage und das Thema sitzt und Du hast beim Kunden einen besseren Stand.


    Genau an diesem Punkt bin ich ja gerade :) Die Aussage, dass ich hier nur mit einem Ohr drin hänge ist ebenfalls wahrheitsgemäß, ich versuche mir diesbezüglich ein paar Lösungswege zu erarbeiten und danach den Kollegen vorzuschlagen.


    Die Sache mit dem Split-DNS macht natürlich Sinn; 5 Minuten drüber nachgedacht und festgestellt, dass ich das bereits 1-2 in einem anderen Bereich verwendet habe.


    Dazu aber eine Frage: Damit die Outlook-Clients auch tatsächlich über den externen Namen und nicht über den internen zum Exchange-Server gehen, sollte man vermutlich die AutoDiscover-Einstellungen ändern und die externe Adresse eintragen und das Exchange-Outlook-Profil neu einrichten, oder?

    Hallo Ich kann dein SSL-Problem teilweise verstehen. Du hast warscheinlich bisher die falschen Zertifikate angeschaut. Da du intern und extern unterschiedliche Domännamen, FQDN hast brauchst du auch ein Zertifikat das soetwas unterstüzt. Als Beispiel kannst du dir Comodo UC SSL ansehen. Oder suche mal nach Exchange 2010 Zertifikaten.