Zertifikat mit mehreren Namen für Exchange 2003 erstellen

[dermario2]

Hallo,

wir hatten bisher nur selbstsignierte (mit SELFSSL) Zertifikate im Einsatz, wo die Erstellung eines Zertifikates mit mehreren Servernamen problemlos möglich ist.

Nun haben wir eine CA im Einsatz, die uns die Zertifikate signiert. Über den Assistent für die Erstellung eines Serverzertifikates kann man allerdings nur einen Namen angeben. Das funktioniert dann zwar für OWA, aber der Zugriff auf die öffentlichen Ordner mit ESM liefert folgenden Fehler:

"Der Servername auf dem SSL-Zertifikat ist falsch."

Frage: Wie kann ich ein SSL-Zertifikat mit zwei Namen mit einer (eigenen) CA erstellen?

Ich kenne nur die Option für den Exchange 2007: Konfigurieren von SSL-Zertifikaten für die Verwendung von mehreren Hostnamen für Clientzugriffsserver
Doch funktioniert ein solches Zertifikat auch bei Exchange 2003?


Freu mich über jeden Tipp!
Besten Dank u. lg,
Mario.

[NorbertFe]

Zitat von dermario2 Doch funktioniert ein solches Zertifikat auch bei Exchange 2003?

Glaub ich nicht, aber was spricht gegen einen kurzen Test? Erfahrungsberichte willkommen.

Bye
Norbert

[dermario2]

:-) Nein, das funktioniert leider nicht. Weil die Werte in der "alternative Bezeichnung" nicht den "Aussteller" ändert.

Ich brauche ein Zertifikat, das im Aussteller zwei Werte beinhaltet:
1. servername.domäne.local
2. mail.extdomäne.at

das SELFSSL Zertifikat kann ich leider über die CA nicht bestätigen.

[NorbertFe]

Zitat von dermario2 :-) Nein, das funktioniert leider nicht. Weil die Werte in der "alternative Bezeichnung" nicht den "Aussteller" ändert.

Natürlich nicht.

Ich brauche ein Zertifikat, das im Aussteller zwei Werte beinhaltet: 1. servername.domäne.local 2. mail.extdomäne.at

Wozu?

Bye
Norbert

[dermario2]

damit esm öff. ordner verwaltung UND unser owa zugriff von extern funktioniert. - ohne zertifikatfehlermeldung

[firefox80]

Idee: Am IIS einen 2. Virtuellen Server einrichten, der auf einem anderen Port läuft und dort das Zertifikat für den öffentlichen Namen hinterlegen. Am Router machst du noch eine Port Translation, damit alle Anfragen von 443 auf xy geleitet werden. Damit schließt du dann auch aus, dass andere Verzeichnisse von außen erreichbar sind, da sie einfach am 2. V-Server nicht existieren.

Klingt nach einer Bastellösung, die ich selbst auch noch nicht ausprobiert habe. Deshalb als Idee noch die Luxus Lösung: Veröffentliche deinen Exchange über einen ISA Server und mach ein SSL Bridging.

LG

[dermario2]

danke, wir haben keinen isa im einsatz

[NorbertFe]

Zitat von dermario2 damit esm öff. ordner verwaltung UND unser owa zugriff von extern funktioniert. - ohne zertifikatfehlermeldung

Du brauchst dann aber kein Zertifikat mit zwei Ausstellern, sondern mit zwei ausgestellten Namen. Der Aussteller hat nichts mit dem Servernamen zu tun. (ausser bei selfssl )

Bye
Norbert

[dermario2]

ok, das leuchtet ein. wie kriege ich dann ein zertifikat mit zwei namen?

dank u. gruß

[NorbertFe]

Zitat von dermario2 ok, das leuchtet ein. wie kriege ich dann ein zertifikat mit zwei namen? dank u. gruß

Erstellst du dir mit deiner installierten CA.
Such mal nach SAN Certificates in der MSKB.

Bye
Norbert