OWA über ISA + Zertifikate

[tekka81]

Hallo Leute,

ich muss demnächst einen Exchange 2007 installieren und dabei OWA und ActiveSync per ISA Server veröffentlichen.

Eine Sache mit den Zertifikaten ist mir jedoch nicht ganz klar.
Auf dem ISA Server installiere ich ein SAN-Zertifikat von einem Provider, welches die URL für:
webmail."domäne".de, autodiscover."domäne.de
enthält. (Autodiscover nehm ich schonmal rein für die Zukunft, falls OAW auch ein Thema wird)
Soweit sogut.

Wenn ich nun am ISA Server die Veröffentlichungsregel erstelle, möchte ich die Kommunikation zwischen ISA und Exchange07 ebenfalls per SSL herstellen.
Muss ich dann auf dem Exchange noch ein Zertifikat installieren oder reicht das self-signed Zertifikat aus, welches bei der Installation generiert wurde?
Bzw. muss ich den Zertifikatsschlüssel vom EX07 exportieren und am ISA importieren?

Ist wahrscheinlich ne ganz banale Geschichte, aber hab mit den Zertifikatsgeschichten leider noch ein paar Verständnissschwierigkeiten.

Vielen Dank schonmal für Antworten

[NorbertFe]

Zitat von tekka81 Hallo Leute, ich muss demnächst einen Exchange 2007 installieren und dabei OWA und ActiveSync per ISA Server veröffentlichen. Eine Sache mit den Zertifikaten ist mir jedoch nicht ganz klar. Auf dem ISA Server installiere ich ein SAN-Zertifikat von einem Provider, welches die URL für: webmail."domäne".de, autodiscover."domäne.de enthält. (Autodiscover nehm ich schonmal rein für die Zukunft, falls OAW auch ein Thema wird) Soweit sogut. Wenn ich nun am ISA Server die Veröffentlichungsregel erstelle, möchte ich die Kommunikation zwischen ISA und Exchange07 ebenfalls per SSL herstellen. Muss ich dann auf dem Exchange noch ein Zertifikat installieren oder reicht das self-signed Zertifikat aus, welches bei der Installation generiert wurde? Bzw. muss ich den Zertifikatsschlüssel vom EX07 exportieren und am ISA importieren? Ist wahrscheinlich ne ganz banale Geschichte, aber hab mit den Zertifikatsgeschichten leider noch ein paar Verständnissschwierigkeiten. Vielen Dank schonmal für Antworten

Hast du mehr als eine public IP? Falls ja, würde ich mir das offizielle SAN Zertifikat sparen und lieber zwei normale Zertifikate kaufen. Ist meist biliger und zweitens ermöglicht dir das ein paar Features, die du sonst nicht hinbekommst mit dem ISA.

Wenn du zwischen ISA und Exchange auch SSL nutzen willst (solltest du auch, da du sonst den Exchange umkonfigurieren müßest und das ist m.E. nach umständlicher), dann braucht der Exchangeserver ein Zertifikat, dem der ISA Server vertraut. Das kann zur Not auch das selbstausgestellte Zertifikat sein, zu empfehlen wäre aber ein selbstausgestelltes SAN Zertifikat einer internen CA.

Bye
Norbert

[tekka81]

Hallo Norbert,

Danke für die Tips werde das mal in einer Testumgebung ausprobieren.
Habe aber gerade eben erfahren, dass unser Kunde doch keinen ISA einsetzt, sondern einen Apache als Reverse Proxy.
Seither war Exchange 03 mit WebAccess im Einsatz.
Nun soll das ganze mit Exchange 07 + Apache laufen.
Werd mich mal erkundigen wie und ob das alles funktioniert.

Unterstützt ein Apache SAN Zertifikate?
Der ISA 2006 kanns ja auch "erst" seit SP1.

[NorbertFe]

Kann ich dir nicht sagen. Nur ist der ISA ja auch kein Proxy/Webserver, sondern Proxy/Firewall. Da kann man sowas schonmal "vergessen"

Bye
Norbert