Offiz. Zertifikat erstellt für extern, dieses aber auch intern nutzen?

Daenni · 7. Oktober 2013

Hallo zusammen,

folgendes Szenario (und dringendes Problem)

das offizielle Zertifikat ist abgelaufen.
Vorher war es ein Multidomain Zertifikat mit dem internen als auch externen Domains.

Nun wurde ein neues erstellt-aufgrund verschiedener Gründe nur für die externe Domain (zB OWA).

Importiere ich dieses Cert nun auf dem Exchange im IIS komme ich zwar ohne Warnung per OWA drauf, intern jedoch wird bei jedem Öffnen des Outlook gemeckert:
"Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein".
Klingt logisch.

Aber wie löse ich das Problem?

Grüße und Danke
Daniel

NorbertFe · 7. Oktober 2013

Du brauchst eine Split-DNS Konfiguration, so dass deine internen als auch deine externen Clients den Server immer mit dem offiziellen Namen ansprechen. In öffentliche Zertifikate wirst du keine internen Namen mehr mit aufnehmen können.

Daenni · 7. Oktober 2013

Tachieeenn...
Danke für die Antwort, das wollte ich mir ersparen, sieht aber heiß aus.

Intern läuft nun das selfsigned und von extern läuft das offizielle über die Web Application Firewall.
Läuft so ohne großartige Umkonfiguration.

Danke Dir!

P.S.: Wäre es nicht schon genug gewesen die Directorys zu ändern (autodiscover etc?)

NobbyausHB · 7. Oktober 2013

Hallo,

Zitat

Wäre es nicht schon genug gewesen die Directorys zu ändern (autodiscover etc?)

Ja, aber nur, wenn das auch per DNS von intern aufgelöst werden kann,
sonst könnten die Leute nicht mehr arbeiten, wenn die I-net Verbindung ausfällt.

Daher - Split-DNS

NorbertFe · 7. Oktober 2013

Ausserdem stellt sich die Frage, warum man vorher keinen Reverse Proxy davor hatte? Aber ja, das wäre auch eine Lösung gewesen, die ich mir erspart hatte zu erklären, weil du nix von ReverseProxy erwähnt hattest.

Offiz. Zertifikat erstellt für extern, dieses aber auch intern nutzen?

Teilen

Benutzer online in diesem Thema