Ex2007 selbst signiertes Zertifikat + gekauftes Zertifikat?
Hallo zusammen,
ich betreibe einen Exchange 2007 mit SP1. Ich möchte mit meinem Handy (activeSync), OWA und Outlook Anywhere von extern auf den Server zugreifen.
OWA z.B. funktioniert bereits, ich habe bei meinem Provider der meine Domain hostet einen entsprechenden Forwarder auf meine IP eingerichtet: mail.firma.net, wird entsprechend geroutet und ich komme über mail.firma.net/owa auf meine OWA Anmeldeseite aber eben mit Zertifikatsfehler.
Setze das selbst-signierte Zertifikat ein, was bei der Installation erstellt wurde. Mit iPhone klappt auch ActiveSync da das iPhone die Zertifikatsmeldung ignorieren kann, aber mein Nokia N96 z.b. leider nicht. Daher muss ein gekauftes Zertifikat her.
Habe gelesen das man dazu ein SAN Zertifikat kaufen soll... meine Frage ist daher nun folgende:
Reicht hier nicht ein "normales" Zertifikat mit dem Namen mail.firma.net? Das ist ja der Name den ich bei OWA, Outlook Anywhere und ActiveSync angebe.
Würde dann das Zertifikat in den Exchange 2007 mittels PS importieren und für ISS (SMTP, POP etc. bleibt auf dem selbst signierten weiter bestehen) aktivieren.
Was wären die Vorteile (ausser das es günstiger ist) und vor allem die Nachteile zu einem SAN Zertifikat?
Auf welchen Namen wurde das öffentliche Zertifikat ausgestellt? Und von welchem CA? Wenn der rootCA nicht beim Mobile installiert ist, kannst du auch ein self-signed-certificate nehmen
Ich habe gute Erfahrungen mit Digicert und GoDaddy gemacht. Mit Exchange Server 2007 werden mehrere Namen im Zertifikat benötigt, daher das UCC / SAN Certificate. Allerdings kannst du Exchange auf für ein Single-Name-Certificate konfigurieren. Dazu habe ich dir einen Link hier: How-To: Exchange Server 2007 Web Services mit einem Single Name Certificate | Server Talk
also wie gesagt wir benutzen das self-signed-Zertifikat auf dem Exchange, habe auch keine eigene CA in der Domäne. Habe über OWA das Zertifikat bei den PC's auch installiert, kein Thema, dort kommt auch keine Fehlermeldung mehr. Es geht ja rein um die (blö***) Nokia Handys die (laut dem was ich gelesen habe) erst ab dem N97 die Zertifikatswarnungen ignorieren kann, so wie das iPhone. Und das Zertifikat auf dem Symbian so zu installieren das es auch funktioniert, ist eine Wissenschaft für sich.
Aber Danke für Deine beiden Links, bin absoluter Neuling was es in Sachen "Zertifikate anfordern" geht. Ich kaufe mir lieber für 30 Euro ein Zerti für ein Jahr als das ich noch mehr Zeit für Workarounds suche.
Daher meine Frage wer mir welche Zert-Stelle empfehlen kann (am liebsten hätt ich ja gerne einen deutschen Anbieter bei dem ich anrufen und mich **** stellen kann :-) ) und ob es sinnvoll ist ein SAN/UCC Zertifikat einem Single-Zertifikat vorzuziehen, denn ich brauche kein Autodiscover und 90% haben sowieso Office 2003.
sooo, habe die Links von Servertalk nun gelesen, habe dazu eine kleine Frage:
Es wird die DNS Konfiguration beschrieben für Autodiscover, wenn man ein Singlename-Zerti benutzt. Leider wird da nicht von interner u./o. externer Domäne gesprochen. Ich habe eine interne Domäne firma.local und bei einem Provider die Domäne firma.net; auf dem internen DNS Server gibt es keine Zone firma.net, alles was nicht firma.local ist leitet der DNS an einen Externen Server weiter.
Auf dem CAS Server habe ich die externen URL's (also gleich der mail.firma.net) eingetragen.
Ich belasse meinen internen _Autodiscover SRV Eintrag (_autodiscover.firma.local) und füge noch einen SRV Eintrag bei meinem Provider hinzu, richtig? Sprich ich muss intern jetzt nicht noch die firma.net intern hosten bzw. vom Externen eine Kopie empfangen?!
Ex2007 selbst signiertes Zertifikat + gekauftes Zertifikat?
