Frage zur Frame-Weiterleitung auf SSL Seite

[carsten.m 10]

Hallo Zusammen,

 

webmail.firma.de ist eine Frameweiterleitung auf https://192.168.1.1/Exchange

Im IIS ist ein Webserverzertifikat installiert und der SSL-Zugang wird vorrausgesetzt.

 

Rufe ich webmail.firma.de auf kommt auch die Zertifikatsabfrage, lediglich der Domain-Name stimmt nicht überein, da wir diese nicht selbst hosten.

 

Leider sieht man dann nichts von wegen SSL Verschlüsselung im Browser (Das kleine Schloss im IE oder im Firefox 3.x oben in der Adressleiste)

Gibt man die https von oben Adresse direkt ein, so erscheinen diese Hinweissymbole.

 

Soweit ich weiß ist eine Frameweiterleitung nichts andere wie, zeig mir den Inhalt des Ziels an aber lasse den Adress-string unberührt.

 

Wie schaut es dann da mit der SSL-Verschlüsselung aus?

Dürfte doch trotzdem stattfinden oder?

 

Vielen dank schonmal

[jani_brb 10]

Kurze zwischenfrage: Soll die Adresse webmail.domain.de nur von intern erreichbar sein?

[carsten.m 10]

Nein, webmail.firma.de soll für unsere externen Mitarbeiter sein.

Damit diese sich nicht den IP Konstrukt merken müssen.

 

Intern arbeiten wir alle mit Outlook ;)

[jani_brb 10]

Ok, habe ich mir fast schon gedacht, allerdings war mir die konstalation mit der Framweiterleitung etwas komisch.

 

Kurze Frage: Wieso hast du das mit einer Frameweiterleitung gelöst?

 

Warum löst du die Sachen nicht durch einen A-Eintrag bei deinem Provider/Hoster? zB bei Domainfactory kannst du einen A-Eintrag über das Kundenmodule anlegen (zB mail oder webmail). Diesen verweist du dann auf die öffentliche Adresse deines Routers/Servers.

 

Dadurch wird dann direkt das Zertifikat im Browser angezeigt, welches im IIS auf der Webseite liegt (somit dann auch im Browser). Du musst dann folglich nur den Port 443 durch NATen auf deinen Exchange Server.

 

Das einzige was evtl. dann noch bei dir angepasst werden muss, wäre das der EXchange auch direkt auf den DNS-Eintrag hört, ohne den Angang /exchange? Wenn ich es richtig verstanden habe, geben die externen Mitarbeiter deine webmail.domain.de ohne /exchange ein und laden auf dem Exchange, oder? Dies kannst du aber durch die Systemtools im EXchange "aushebeln" bzw. umgehen. Oder du sagst allen, das die webmail.domain.de/exchange eingeben müssen...

[carsten.m 10]

Ok, dann erklär ich ma die Situation vielleicht hilft größer ausschweifen ja weiter:

 

Wir hosten unsere Webseite sowie die Postfächer in einem 1und1 Webhosting paket.Das tun wir aus dem einfachen Grund der Hochverfügbarkeit. Die großen Hoster liegen da bei 99%. Schau ich mir die Downtime unseres Servers für dieses Jahr an, bin ich weit drunter ;). Außerdem sieht es doof aus, wenn einfach ne Mail zurückkommt das gerade ein Server nicht verfügbar ist.

 

Wir sind halt nur ein kleiner Dienstleister der sich weder eine Clusterfarm noch eine dicke Glasfaser-Standleitung sowie die damit verbundenen annehmlichkeiten leisten kann. Ergo: Kein DSN-Eintrag .. kein A-Eintrag.. dann hätte ich die obige Frage erst gar nicht.

 

Die Frameweiterleitung ist bei 1und1 eingerichtet um

a) den externen Mitarbeitern das IP-Konstrukt zu ersparen und

b) Schaut sowas im Browser immer schöner aus mit einer Domain anstelle eines IP-Strings.

c) Außerdem muss nicht jeder auf den Ersten blick die externe IP-Adresse sehn ;)

 

Aufgrund des Einsatzes von SSL bin ich ja gezwungen dem Server ein Zertifikat zu verpassen. Der Zugriff auf die Website MUSS durch einen Sicheren Kanal laufen, ist so im IIS eingestellt.

 

Meine beiden Fragen bei dem ganzen Thema drehen sich nur um eins:

 

Findet bei einer Frameweiterleitung eine SSL-Kommunikation statt, wenn auf dem Server eingestellt ist, dass er nur SSL-Verbindungen akzeptieren soll.

 

UND

 

Warum bekomme ich diese SSL-Verbindung dann nicht im Browser visualisiert, mit dem bekannten Vorhängeschloss?

 

 

Sprich:

webmail.fimra.de --> Frameweiterleitung auf https://IP/Exchange'>https://IP/Exchange --> Keiner Sicherheitsmerkmale im Browser sichtbar

 

Direkteingabe https://IP/Exchange --> Sicherheitsmerkmale im Browser sichtbar

 

 

Das das Zertifikat nicht stimmig ist lassen wir hierbei außenvor.

[zahni 521]

Der Browser zeigt Dir die Sicherheit der Hauptwebseite an und nicht irgendwelcher Frames. Du kannst ab ins Frame klicken -> rechte Taste -> Eigenschaften. Dort müsste als Protokoll u.a. "HTTPS" stehen.

 

Mein Vorschlag: Registriere einen zusätzliche Host (A) im DNS für Deine Domain mit Verweis auf Deine IP-Adresse des Exchange Servers (sollte der Provider können oder Du sogar sleber). Jetzt sollten Deiner Nutzer über myexchangeserver.mydomain.de auf den Server dirket zugreifen können. Die diesen Host kannst Du dann auch ein funktionierendes Zertifikat ausstellen oder kaufen.

 

-Zahni

[carsten.m 10]

Das einzige was evtl. dann noch bei dir angepasst werden muss, wäre das der EXchange auch direkt auf den DNS-Eintrag hört, ohne den Angang /exchange? Wenn ich es richtig verstanden habe, geben die externen Mitarbeiter deine webmail.domain.de ohne /exchange ein und laden auf dem Exchange, oder? Dies kannst du aber durch die Systemtools im EXchange "aushebeln" bzw. umgehen.

 

Also Host eintrag konnte ich selbst erstellen (Hab mich noch nie so wirklich auf der 1und1 website umgesehen .. aber ping auf mail.firma.de läuft direkt zu mir =) *freu*

 

Systemtools vom Exchange? ich hätte jetzt erwartet, dass ich das im IIS ändern muss? Ich besorg mir grad das MOM pack und schau schonmal rein.

Wenn ich noch fragen habe meld ich mir hier wieder...