Mirastarix 0 Geschrieben 16. Januar 2017 Melden Teilen Geschrieben 16. Januar 2017 Hi zusammen, wie die meisten haben auch wir eine gewachsene Struktur und öffentliche Zertifikate waren meist nur für Websites interessant - kostet halt^^ Ich kann das Ganze nun auch leider nicht in einer Testumgebung nachstellen sondern muss am lebenden Patienten operieren. Bevor ich alles kaputt mache und hektisch backups einspielen muss, frag ich lieber nochmal nach^^ Folgendes Szenario: An Exchange war ein internes Zertifikat von der internen CA gebunden. Alles lief wunderbar bis die ersten Kunden mit iPhones auf iOS 10.1 upgedatet haben. Ab iOS 10.1 war ActiveSync mit dem internen Zertifikat nicht mehr möglich und es musste zwangsläufig ein Zertifikat von einer öffentlichen CA gekauft und gebunden werden. Soweit so gut...iPhones können wieder connecten aber jetzt bekommen interne Clients natürlich die Fehlermeldung, dass der interne Name nicht als SAN mit angegeben ist. Leider geht aus keinem Guide wirklich eindeutig hervor, wie Exchange genau für diesen Fall konfiguriert werden muss. Ich vermute, dass für die virtual directorys nun jeweils statt des internen FQDN bei interner URL die externe URL eingetragen werden muss, damit auch intern das öffentliche Zertifikat genutzt wird. So würde intern meinetwegen über https://mail.meinedomain.de und extern ebenfalls über https://mail.meinedomain.de verbunden werden wie z.B. hier beschrieben. Geh ich recht in der Annahme, dass nach dem Ändern der internen URL auf die externe URL auch von intern die Zertifikatsfehler verschwinden? Danke für´s Feedback Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 16. Januar 2017 Melden Teilen Geschrieben 16. Januar 2017 Hi, sofern du SplitDNS enstprechend konfigurierst und autodiscover.<deine_Domains>.tld sowie mail.<deinedomain>.tld im Zertifikat ist, dürfte das gelingen. Beim Einsatz eines Proxys sollten dann ggfs. die Ausnahmen entsprechend gesetzt werden. Gruß Jan P.S.: Generell sollte das auch mit iPhones und eigener PKI problemlos laufen, sofern die Konfiguration passt. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 16. Januar 2017 Melden Teilen Geschrieben 16. Januar 2017 P.S.: Generell sollte das auch mit iPhones und eigener PKI problemlos laufen, sofern die Konfiguration passt. Vielleicht ist es ein SHA-1 Zertifikat, damit ist jetzt bei einigen Schluss. Wie's bei Apple genau aussieht müsste mal ein Fanboi recherchieren :cool: Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 16. Januar 2017 Melden Teilen Geschrieben 16. Januar 2017 (bearbeitet) Vielleicht ist es ein SHA-1 Zertifikat, damit ist jetzt bei einigen Schluss. Wie's bei Apple genau aussieht müsste mal ein Fanboi recherchieren :cool: Das war auch einer meiner Gedanken ;) Nachdem mit einem 10.x Update auch WoSign das Vertrauen entzogen wurde. Auf die Schnelle nur einen heise Artikel aus 11/16 gefunden: https://www.heise.de/security/meldung/Admins-aufgepasst-SHA1-Zertifikate-vor-dem-endgueltigen-Aus-3460868.html Allerdings äußert sich Apple scheinbar nicht dazu ;) bearbeitet 16. Januar 2017 von testperson Zitieren Link zu diesem Kommentar
Mirastarix 0 Geschrieben 17. Januar 2017 Autor Melden Teilen Geschrieben 17. Januar 2017 (bearbeitet) Moin, ja, es ist zurzeit ein öffentliches SHA1 gebunden und iPhones können normal verbinden - wird aber noch auf SHA256 gewechselt. Wichtig war den iPhones nur, dass sie eine öffentliche root CA erreichen können, um die chain bis dahin zu prüfen. Selbst beim Importieren des internen root Zertifikats konnte keine Verbindung hergestellt werden. bearbeitet 17. Januar 2017 von Mirastarix Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 17. Januar 2017 Melden Teilen Geschrieben 17. Januar 2017 Wenn es um die Erreichbarkeit von CDP und AIA geht, gibt es scheinbar eine Designschwäche bei der internen PKI. Sind die Sperrlisten und ggf. der Online Responder von extern zu erreichen? Zitieren Link zu diesem Kommentar
Mirastarix 0 Geschrieben 18. Januar 2017 Autor Melden Teilen Geschrieben 18. Januar 2017 Wenn es um die Erreichbarkeit von CDP und AIA geht, gibt es scheinbar eine Designschwäche bei der internen PKI. Sind die Sperrlisten und ggf. der Online Responder von extern zu erreichen? Moin, nein, die CRL ist nur von intern zu erreichen und Online Responder ist imho gar nicht installiert. Hm, auf den Gedanken bin ich noch gar nicht gekommen, dass es evtl. nur an der nicht erreichbaren CRL liegen könnte. Könnte man bei Gelegenheit mal testen - leider haben wir kein MDM, sodass unser internes root cert nicht automatisch ausgerollt wird. Damit und mit der von außen erreichbaren CRL könnten evtl auch die iPhones bei der Konstellation funktionieren. Ich mache nun aber erstmal mit SplitDNS weiter. Muss nur noch entsprechend die DNS Zonen basteln, weil die AD domain schon älter und noch ne .local ist. Heute würd ich auch gleich die TLD intern nutzen...hinterher is man immer schlauer :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.