Hi Norbert,
nun, die Antwort auf deine Frage - werden wir/ich heur wirklich dazu gezwungen, selbst für kleinere Netzwerke ein Zertifikat zu erwerben?
Mich stört der Zwang und die Absicht dahinter.
Und irgendwo bin ich auch neugierig und möchte "gerne wissen" wie. 
Wenn es nicht funktioniert, muss ich halt in den sauren Apfel beißen - befriedigt mich halt weniger.
Gruß
Jan
Es gib zwei offizielle Wege:
1. Eigene Root-CA und dieses Root-Cert auf die Clients, egal ob inHouse, Mobil, extern ausrollen.
2. Extern signiertes Zertifikat gemäß Empfehlung / BestPractice verwenden.
Das hat nichts mit Zwang zu tun, sondern sind Voraussetzungen (OK, auch ´ne Art von Zwang...)
Es gib zwei offizielle Wege:
1. Eigene Root-CA und dieses Root-Cert auf die Clients, egal ob inHouse, Mobil, extern ausrollen.
In diesem Fall wurde das Zertifikat von einem internen Root-CA ausgestellt.
Bei den DClients und Workstations der Arbeitsgruppe (externe) ist das Root-Cert bereits installiert und wenn man so will "alles bestens".
Autodiscover läuft von intern und extern. Prima!
Lediglich die Mobils habe ich aktuell nicht im Griff. Zertifikat auf die SD geschoben und installiert - dennoch keine Lust die Biester...
Status Q - ich kann in der Produktionsumgebung nicht weiter "spielen" - das hole ich später in einer TestVM für mich nach.
Deshalb habe ich deinem Rat befolgt und vorab mit PWS telefoniert, da ich mir unsicher war, welches Zertifikat das "Richtige" ist.
Empfohlen wurde mir GlobalSign UCC für 149,-Euronen im Jahr.
https://www.psw-group.de/ssl-zertifikate/uc-ssl-zertifikate/
Passt das oder über das Ziel geschossen?
Dann ist da noch der Exchange Zertifikatsassistent und die Abfrage der Definitionen der Zugriffe für
Outlook Web App etc. intern und extern.
Nächste Hürde der Unwissenheit - Der MA am Telefon sagte mir, das die .local nicht mehr unterstütz werden.
Öhm - Was definiere denn an dieser Stelle intern?
Ich benötige demnach die 2 Einträge wie im 2ten Post beschrieben - autodscover.domain.de und die email.daomain.de - korrekt?
Deshalb der Split DNS autodiscover, der auf die intere IP zeigt? Fragen über Fragen...
Grüße
Jna
Zertifikat auf die SD geschoben und installiert
Hoffentlich das Root Zertifikat und nicht das Serverzert vom Exchange.
Je nachdem, wieviele Namen (und Domains) du im Zertifikat benötigst, kannst du dir hier problemlos welche aussuchen:
https://www.psw-group.de/ssl-z…tidomain-ssl-zertifikate/
Ich habe bei Kunden die nur 2-3 Namen (autodiscover + host + ...) meist das von GeoTrust genutzt.
Hoffentlich das Root Zertifikat und nicht das Serverzert vom Exchange.
Moin!
Frage zur tld .local - bsp - u.a. setzt Autodiscover per Definition in Outlook den Proxy "esrv01.domain.local"
Lt. PSW telefonat unterstützen die "neuen Zertifikate" kein .local mehr.
Taucht o.g. tld im Zertifikat von PSW nicht mehr auf, habe ich den nächsten Ärger am Hals?
Das haben wir ganz am Anfang geschrieben - Split-DNS ist dein Freund.
Interne und externe URL´s sind gleich.
Das wird intern vom DNS geregelt.
Man müsste die hinweise natürlich verstehen und umsetzen;)
Man müsste die hinweise natürlich verstehen und umsetzen;)
100% - ich gebe mir große Mühe und mit eurer Hilfe werde ich lernen und verstehen
In meinem Fall sind die beiden "Aktoren" autodiscover.domain.local und email.doamin.de
Intern > Split DNS
Für autodiscover.domain.local wird eine neue leere primäre Zone im DNS eingerichtet mir dem Namen:
autodiscover.domain.de > autodiscover.domain.de zeigt per Host(A) auf die interne IP des Exchange.
"https://autodiscover.domain.local" wird intern "https://autodiscover.domain.de"
Eine weitere leere pZ mit dem Namen:
email.doamin.de > email.doamin.de zeigt per Host(A) auf die interne ip des Exchange.
Dementsprechend wird im Zertifikat
autodiscover.domain.de und email.doamin.de definiert und intern geregelt
korrekt?
Korrekt.
Und für diese beiden Namen kaufst du ein Zertifikat.
Das wird über den Exchange beantragt, so bekommst du eine Datei mit einer Textdatei und den Inhalt reichst du bei der externen Zertifikats-Stelle ein.
In der Regel wird die Domain geprüft und du bekommst noch einen Mail mit der Abfrage, ob du das auch warst (ggf. noch der Hoster der Domain..)
Dann das ausgestellte Zertifikat importieren und den Diensten zuweisen, fertig.
Schon meckern weder die internen noch die externen Clients oder Smartphones / iPpads...
