Zertifikat ersetzen?

1. offizieller Beitrag

    Moin!


    Kurz kurze Kurzvorstellung - bin der Jan ;)


    Stelle aktuell einen EX13 auf MX um. Autodiscover steht soweit.
    Lediglich das Zertifikat stresst und da ich kein Zertifikatsspezi bin,
    beiße hier grad auf Granit.


    Einer der Klassiker - das Exchange Zertifikat wurde seinerzeit auf


    esrv01
    esrv01.doamin.local


    ausgestellt.


    autodiscover hört jetzt aber per srv auf


    mail.domain.de



    Die URL stimmt nicht überein und da SSL aktiviert ist, kommt natürlich das Zertifikat auf den Schirm.


    "Der Name des Sicherheitszertifikats ist ungültig oder stimmt nicht mit dem Namen der Site überein"


    Frage: Ich hatte schon mal einen kleineren Gau, weil ich am Exchange "einfach" ein neues Zertifikat mit den fehlenden
    urls erstellt habe. Der IIS ist mir um die Ohren geflogen usw.


    Ich getraue mich jetzt , da Produktivumgebung, nicht wirklich da ran.


    Hier ist bestimmt jemand, der ähnliche Erfahrung gemacht hat und verrät mir bitte den richtigen Weg
    mein Problem aus der Welt zu schaffen?


    Zertifikat ersetzen? - oh weia... Angst!



    Zu hülf!


    LG Jan

    • Offizieller Beitrag

    Moin Jan,


    erst einmal - willkommen an Board, schön, das du uns gefunden hast!


    Irgendwann muss ich mir mal die Zeit nehmen, und hier eine komplette Anleitung einstellen....


    1te Regel - selbstsignierte Zertifikate sind Mist und offiziell nicht supportet.


    2te Regel - kaufe ein Zertifikat bei einer externen Zertifizierungs-Stelle, günstig z.B. bei PSW Group
    --- Ausnahme: du hast eine lokale PKI und eine eigene Root-CA ---


    3te Regel - Split DNS muss passen.


    4te Regel - der UPN muss gleich der Mailadresse sein.


    Und jetzt Step-by-Step.


    Als 1tes konfigurierst du dein Split-DNS richtig.


    Dazu wir erst eine leere Primäre Zone im DNS eingerichtet mit dem Namen Autodiscover.domain.tld und der IP des Exchange-Servers
    Jetzt eine weitere leere primäre Zone mit dem externen Namen, in deinem Fall mail.domain.tld


    Jetzt wird entweder ein Zertifikat bei einem externen Provider beantragt oder eines von der internen CA ausgestellt, mit den beiden Namen drin:
    autodiscover.domain.tld und mail.domain.tld.


    Dieses Zertifikat wird an alle Dienste gebunden.


    Im Exchange werden nun alle internen und externen URL gleich eingerichtet, vor allem Autodiscover.


    Zu guter Letzt noch dafür sorgen, das der User-UPN gleich der Mailadresse ist.


    Wird in Active Directory Domänen und Vertrauensstellungen eingepflegt:
    http://www.msxfaq.de/exchange/admin/upn.htm


    Wenn das ganze von extern klappen soll, muss der ISP die beiden URL im externen DNS auf deine feste IP zeigen lassen und der Router / Firewall muss den Port 443 auf die interne IP des Exchange weiterreichen, mache FW können direkt die Exchange-Dienste veröffentlichen (Sophos UTM, Securepoint ets...) aber das ist hier nicht Gegenstand.


    Done!


    ;)

    Moin Männer!


    erst mal vielen Dank für eure Infos!


    Ich möchte das Ganze gerne verstehen und habe noch einige Fragen zum Thema Zertifikat
    wenn ihr mich lasst.


    Ich muss jetzt aber erst mal in die Koje, war ein langer Tag.


    Grüße!

    Guten Morgen!


    Ich habe vor, "das Problem" heute Abend zu fixen aber bitte vorab noch Fragen zum Verständnis u.a. zum Split DNS...



    "Dazu wir erst eine leere Primäre Zone im DNS eingerichtet mit dem Namen Autodiscover.domain.tld und der IP des Exchange-Servers
    Jetzt eine weitere leere primäre Zone mit dem externen Namen, in deinem Fall mail.domain.tld"



    1. Das "Autodiscover.domain.tld" ist Case-Sensibel? Oder ist das nur Zufall, dass das großgeschrieben ist?


    2. mail.domain.tld - verweist man hier auf die interne oder externe IP oder ist das worschd?



    3. Fliegt dann der oft Zitierte SRV Eintrag "_autodiscover._tcp 0 0 443 unter domain.local > _tcp im lokalen DNS raus?
    Oder ist dieser Eintag dort generell fehl am Platz?


    http://lh3.googleusercontent.c…image%25255B23%25255D.png


    3.1 Die gleiche Frage zum Alias(CNAME) autodiscover unter domain.local


    http://i2.wp.com/office365supp…52_UnabletoSet7.png?w=625


    hinfort mit diesem?



    Grüße!

    Einmal editiert, zuletzt von JJAN ()

    • Offizieller Beitrag

    Moin,


    zu 1. das wird alles kleingeschrieben, war wohl mein Editor.


    zu 2. natürlich die interne IP des Exchange, sonst würde es ja intern nicht mehr gehen, wenn die Internetverbindung mal ausfällt.


    3. den srv-Eintrag kannst du lassen, der stört nicht.


    3.1 Den Alias würde ich löschen.


    ;)

    Zitat von NorbertFe

    Warum? Auch dann ist es meist ungünstig, weil kaum einer ein eigenes Root-Cert auf seine mobilen Geräte usw. popeln will/kann.


    Moin! Hat soweit alles funktioniert - super und vielen dank für die Infos!



    Aktuelles Problem - die mobilen Geräte - irgendwas ist immer...


    Was ich "früher" noch mit "ja ich vertraue dem Zertifikat" abhandeln konnte, ist nicht mehr möglich.



    Gibt es einen Weg bzw. Anleitung, das/die benötigten Zertifikate in die Smarthones und Tablets zu "popeln"?



    Ich habe bereits versucht (Android) bei der Konf. der Exchange Accounts das Zertifikat vom meiner interen CA manuell hinzuzufügen.


    Konto einrichten nicht möglich > Verbindung mit dem Server kann nicht geöffnet werden. Sicherheitsfehler aufgetreten.
    Client-Zertifikat verwenden > kein Zertifikat gefunden > Installieren
    Meldung > Zertifikat installiert! Aber nix passiert. an dieser Stelle komme ich aktuell leider nicht weiter.


    Beim Android kommt lediglich eine periodische Meldung "Mögliche Netzwerküberwachung" die auf das eben inst. Zertifikat
    in "Vertrauenswürdige Zertifikate" unter Benutzer "hinweist. Vermute mal das muss in System - nur wie?
    Warum einfach wenn es auch schwer geht... ;)



    Bitte - nochmals - um Euren Rat.


    Vielen Dank!

    • Offizieller Beitrag

    Für den ganzen Aufwand hättest du bei der PSW Group ein Zert gekauft.


    Bei Windows wüsste ich rat, aber wozu der ganze Ärger?


    Spätestens wenn das Zert abgelaufen ist oder jemand ein neues Gerät bekommt beginnt das alles von vorne - willst du das wirklich?


    ;)