xxGhostdriverxx

Hallo Squire,

Danke für Deinen Tipp! Leider kommt er zumindest für dieses Zertifikat ein bisschen zu spät. Wir haben bereits ein Zertifikat gekauft und eingebunden.

Soweit hat alles prima ohne Nennenwerte Probleme funktioniert. Ein Windows-Phone wollte nicht mehr aber das war auch zum Glück das einzigeste bei uns :-)

Als nächstes kommt jetzt die Interne Umstellung.

Das WoSign Zertifikat werde ich aber im Auge behalten ;-)

Deswegen habe ich mich hier angemeldet, bevor ich umstelle ;)

Wenn ich Dich richtig verstehe, soll ich erst ein internes Zertifikat, welches sowohl die lokalen als auch noch die externen Namen enthät einbinden. Anschlißend die interne URL auf allen CAS Diensten ändern.

Nach der Zeit sollten alle Clients die neue URL kennen und ich kann das öffentliche Zertifikat eibinden. Wie lange dauert so etwas erfahrungsgemäß ?

Da ich die UTM dazwischen habe, kann ich für die externen ActiveSync Devices ja schon das öffentliche neu gekaufte Zertifikat verteilen. Die dürften das Umstellen der intenen URL am Exchange ja nicht mitebkommen...

Habe ich dich / euch richtig verstanden ? Muss ich noch was beachten ?

Dank Euch

Was passiert mit den bereits verbunden Outlook Clients ?

Diese müssten ja dann ebenfalls einen Zertifikatsfehler bekommen, da Sie noch auf den alten lokalen Namen zugreifen oder ? Es handelt sich zu 99% um Outlook 2013

Danke und Gruß

Deswegen gibt's Split-DNS. Er hat es verstanden [ ]

ok, Dann muss ich aber bei allen Clientzugriffsdiensten als internen Namen auch den öffentlichen owa.Domain.de eintragen damit dise URL per Autodiscover verteilt wird oder ?

Ok Ich binde das öffentliche Zertifikat ein. In diesem kann ich keine.local Domain hinterlegen -- Soweit klar.

Wenn jetzt ein Interer Client auf den Server zugreift, versucht das Outlook doch aber über Server.interneDoamin.local auf den Exchange-Server zuzugreifen oder nicht?

Dieser Name stimmt aber nicht mit dem im öffentlichen Zertifikat überein. Das müsste doch auf einen Fehler laufen, oder übersehe ich was :confused:

Danke!

Super ich Danke Euch Vielmals

Dann habe ich jetzt einen Fahrplan.

Über den Exchange kann ich dann aber den beiden Zertifikaten (öffentlich und internes ) den IIS Dienst zuordnen ?

Oder muss ich für die Interne Kommunikation auch das Externe Zertifikat verwenden und am internen DNS-Server die Einträge auf den Exchange zeigen lassem ?

Danke!

Super,

wenn ich das alles zusammenfasse müsste ich folgendermaßen vorgehen.

1.  Im Clientzugriff bei allen Diensten (OWA, Actice Sync und Outlook Anyware) die externe URL owa.Domain.de eintragen.
2.  Neue Zertifikatsanfrage (OWA im Internet owa.Domain.de eintragen, Exchange Active Sync owa.Domain.de eintragen und Webdienste haken bei Auto Ermittlung im Internet -> Lange URL --> autodiscover.Domain.de eintragen.
3. Zertifikat mit zwei Einträgen kaufen:

• OWA.Domain.de
• Autodisover.Domain.de --> Weil Outlook diese URL automatisch abfragt oder ?

4. Autodiscover.Domain.de DNS Eintrag beim Provider setzten lassen.

5. Zertifikatsanfrage abschließen und dem Zertifikat die IIS Dienste zuordnen.

6. Das gleiche Zertifikat auf der UTM importieren.

Die Apple und Andriod Endgeräte bekommen so nichts von dem Vorgang mit, da das neue Zertifikat Gültig ist oder ?

Muss ich für die interne .local Domain ein zweites Zertifikat über meine interne CA ausstellen und dem ebenfalls den IIS Dienst zuordnen ?

Danke und Gruß,

Hi,

bei OA.Domain.local dachte ich an Outlook Anyware oder macht es keinen Sinn dies von OWA zu trennen ?

Wenn nicht reicht ja ein Zertifikat mit zwei Einträgen oder ?

Danke und Gruß

Hallo Danke für eure Antworten.

@Norbert FE

mit einem gekauften Zertifikat wird sicher kein Fehler auftauchen, solange es gültig ist  ? Das heißt das neue wird ohne Meldung übernommen ?

@Board Veteran

richtig! Wichtig ist mir, vor allem die Kommunikation nach außen, (OWA, ActiceSync, Outlook Anyware mit autodiscover)

Wichtig ist also welches Zertifikat die UTM über den Reverse Proxy veröffentlicht.

Was für ein Zertifikat kauf man am besten ?

ich dachte an folgende URL´s

owa.Domain.de

oa.Domain.de

autodiscover.Domain.de

reichen die Einträge ? Macht es Sinn die .local Einträge mit in das Zertifikat aufzunehmen ?

Danke und Gruß,

xxGhostdriverxx

Hallo zusammen, 

wir haben aktuell folgende Infrastruktur:

- Exchangeserver 2010 -> Self-Sign Zertifikat

- Sophos UTM mit Webserver Protection - Self-Sign Zertifikat.

- Diverse ActiveSync Endgeräte sowohl Apple als auch Android.

Die SelfSign Zertifikate sind innerhalb der Domäne per GPO auf die PC´s verteilt worden. Bei den Endgeräten als auch bei OWA wurde bzw. wird der Zertifikatsfehler einfach akzeptiert.

- Eine neu aufgesetzte zweistufige CA.

Was ich vor habe:

Ich würde nun gerne den ExchangeServer sauber konfigurieren. Also die Connectoren sauber konfigurieren (Externe URL).

Outlook Anyware aktivieren mit DNS Einträgen und allem was dazu gehört.

Außerdem möchte ich dann ein neues Zertifikat durch unsere neue interne CA für die Dienste ausstellen.

Soweit ist mir der Ablauf klar. Allerdings frage ich mich was passiert, wenn ich dem neuen Zertifikat die Dienste zuordne.

Meine Befürchtung ist, dass die ActiveSync Endgeräte sich nicht mehr mit dem Exchange-Server verbinden, da dieser nun mit einem neuen Zertifikat antwortet, welches sie ebenfalls nicht als Vertrauenswürdig einstufen.

kann ich das Problem umgehen ?

Schönen Dank für Euro Unterstüzung!!