Jump to content

SSL Zertifikat für OWA und autodiscover


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hab mir jetzt schon nen wolf gesucht und entweder ich suche falsch oder es gab die frage bisher noch nicht, folgende Situtation:

 

Ich habe hier einen Exchange 2007 Server in einer rein Windows 2003 AD Domäne, diese wurde entsprechend unter dem domänennamen myfirm.local aufgesetzt. Der Exchange Server ist entsprechend auch unter ex01.myfirm.local im internen Netz erreichbar.

 

Nun möchte ich ein offizielles SSL Zertifikat für die interne als auch externe Kommunikation mit dem Exchange haben. Von außen wird jedoch über die Domain myfirm.de zugegriffen. Wie stelle ich dieses nun am sinnvollsten an. Der Server hat intern eine private IP Adresse 192.168.x.x und extern wird diese auf eine offizielle genattet.

 

Am schönsten wäre es, ein Zertifikat zu nutzen, welches zum einen autodiscover.myfirm.de und ex01.myfirm.de (für OWA) abdeckt. Durch myfirm.local im internen wird dieses aber probleme bringen.

 

Hat jemand eine Idee, wie ich dieses lösen kann? Die Domäne komplett umstellen von myfirm.local auf myfirm.de?

 

Für Ideen bin ich gerne zu haben.

 

Achja,bevor ich es vergesse, als Clients kommen Outlook 2007 mit SP1 sowie iPhones zum einsatz, bzw. IE und Firefox für OWA

 

danke schonmal

Link zu diesem Kommentar

danke für die schnelle antwort, die SAN Zertifikate sind mir bereits ein begriff

 

glaube habe eher noch was vergessen in meinem post, ich will halt auch über autodiscover per https entfernte outlooks konfigurieren, den "erstkontakt" kriegen diese auch über autodiscover.myfirm.de/Autodiscover/Autodiscover.xml

 

Jedoch in der Antwort immer nur die interne URL angegeben zur kommunikation, jedoch nicht die externe, hier mal der auszug aus dem E-Mail Autokonfigurations Test von Outlook 2007:

 

Protocol: Exchange RPC
Server: ex01.myfirm.local
Login Name: xxxx
Availability Service URL: https://ex01.myfirm.local/EWS/Exchange.asmx
OOF URL: https://ex01.myfirm.local/EWS/Exchange.asmx
OAB URL: https://ex01.myfirm.local/OAB/.....
Unified Message Service URL: https://ex01.myfirm.local/UnifiedMessaging/Service.asmx
Auth Package: Unspecified

Protocol: Exchange HTTP
Server: autodiscover.myfirm.de
Login Name: xxxx
SSL: Yes
Mutual Authentication: Yes
Auth Package: Basic
Certificate Principal Name: msstd.autodiscover.myfirm.de

 

Was mich wundert ist, das er hier HTTP nutzt und nicht HTTPS, dies könnte aber daran liegen, das das ZErtifikat vor 2 Monaten abgelaufen ist oder halt nicht für autodiscover.myfirm.de ausgestellt ist sondern für ex01.myfirm.local

 

ich habe bereits über die Powershell versucht eine andere externe URL für AutodiscoverVirtualDirectory zu setzen, diese will er aber irgendwie auch nicht, ein get-AutodiscoverVirtualDirectory gibt folgendes aus:

 

Name                          : Autodiscover (Default Web Site)
InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
BasicAuthentication           : True
DigestAuthentication          : False
WindowsAuthentication         : True
MetabasePath                  : IIS://ex01.myfirm.local/W3SVC/1/ROOT/Autodiscover
Path                          : C:\Program Files\Microsoft\Exchange Server\ClientAccess\Autodiscover
Server                        : EX01
InternalUrl                   : https://ex01.myfirm.local/Autodiscover/Autodiscover.xml
ExternalUrl                   : https://ex01.myfirm.de/Autodiscover/Autodiscover.xml
AdminDisplayName              :
ExchangeVersion               : 0.1 (8.0.535.0)
DistinguishedName             : CN=Autodiscover (Default Website),CN=HTTP,CN=Protocols,CN=EX01,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=myfirm,DC=local
Identity                      : EX01\Autodiscover (Default Web Site)
Guid                          : 453b736a-fc19-41f3-9498-a70cfa77d381
ObjectCategory                : myfirm.local/Configuration/Schema/ms-Exch-Aut
                               o-Discover-Virtual-Directory
ObjectClass                   : {top, msExchVirtualDirectory, msExchAutoDiscove
                               rVirtualDirectory}
WhenChanged                   : 16.01.2009 18:16:44
WhenCreated                   : 15.11.2007 14:23:51
OriginatingServer             : srv12.myfirm.local
IsValid                       : True

 

srv12 ist ein lokaler DNS Server, im externen DNS stimmt die auflösung auf die NAT Adresse

 

Hoffe ich hab nun mein anliegen etwas genauer geschildert

Link zu diesem Kommentar

hm, wir haben 1 zertifikat das nur eine adresse abdeckt.

 

von extern wie intern erreichbar als mail.xxxx.de ... setzt doch aufn DNS einfach ein host (a) mit dem entsprechenden verweis auf den exchange. den browsern und auch outlook ist das egal. vorrausetzung für das alias ist natürlich das vorhanden sein einer entsprechende lookupzone. spart kosten beim zertifikat ;) und macht die sache einfach wenn sich intern mal der hostname ändern sollte ;)

Link zu diesem Kommentar

ihr seit einfach zu schnell hier für mich ;-)

 

intern eine lookupzone zusätzlich einrichten finde ich nicht unbedingt als gute idee, da wir etliche hosts noch drin haben, die unter der offiziellen myfirm.de erreichbar sind (Router, Firewalls, Webserver... was man so hat) dieses sowohl auf den internen DNS als auch auf den Provider DNS zu pflegen birgt da ein wenig probleme, das diese auch immer beide das gleiche machen

 

daher schon lieber mit den beiden unterschiedlichen Zonen für intern local und für extern die .de

Link zu diesem Kommentar

@brainstorm

 

danke für den link

Ich verwende für meine Exchange Installationen meist folgendes Tool als Basis für ein CSR:

https://www.digicert.com/easy-csr/exchange2007.htm

 

allerdings hab ich da ein kleines Problem, das crt File was ich zurück bekomme krieg ich im IIS irgendwie nicht ans laufen, ich hab es in meinen keystore importiert, kann es auch im IIS auswählen, aber ansprechen kann ich den server auf dem port nicht

 

Ich habe ein Zertifikat das alle Domains abdeckt, die ich brauche (5 Stück), neben ex01.myfirm.de, autodiscover.myfirm.de, ex01.myfirm.local, autodiscover.myfirm.local und auch ex01 ohne domainnamen

 

aber ich krieg aufm 443 einfach keinen connect hin, sobald ich das Zertifikat austausche gegen das alte, geht es wieder....

 

Im Keystore zeigt er es mir auch korrekt an (kompletten Cert Pfad ohne Fehler), irgendeine Idee?

 

Im Firefox bekomme ich immer:

Datenübertragung unterbrochen

 

 

 

 

 

 

 

 

 

 

 

 

 

Die Verbindung zu autodiscover.myfirm.de wurde unterbrochen, während die Seite geladen wurde.

Link zu diesem Kommentar

ich hab es nun endlich ans laufen gebracht, war etwas tricky, da er irgendwie über die power shell das zertifikat nicht importieren wollte.

 

Über eine neue CSR, die vom IIS generiert wurde und nen Re-Key bei der Zertifikatsstelle konnte ich es dann aber erfolgreich einrichten.

 

nur autodiscover/anywhere will er irgendwie immer noch nicht machen :-(

 

Ich habe anywhere aktiviert und auch die externen Verzeichnisse eingestellt, im Autodiscover-Test zeigt er mir das auch an, aber er verbindet mir mein outlook nicht. Die Frage ist warum? Das Outlook wurde direkt in der Domäne synchronisiert, ist aber seit 14 Tage dort nicht mehr angemeldet gewesen (laptop außer Haus auf Reisen) kann es daran liegen?

Link zu diesem Kommentar

so, zu deinen Fragen:

 

OEA funktioniert ohne Sicherheithinweis, unter der "normalen" adresse ex01.myfirm.de sowie autodiscover.myfirm.de

 

outlook kommt mit einer PW Abfrage Box

 

Authetizierung bei Outlook? an welcher stelle sehe ich die? unter den konteneinstellungen habe ich nur das hier gefunden:

 

Unter Sicherheit / Netzwerksicherheit bei Anmeldung habe ich sowohl Aushandlungsbasiert, als auch NTLM probiert

 

Unter Verbindung habe ich unter erweiterte Proxy Einstellungen auch Standard und NTLM probiert....

 

er versucht sich zu verbinden und dann kommt immer getrennt

 

Als Proxy Server steht dort autodiscover.myfirm.de drin, bzw. msstd:autodiscover.myfirm.de

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...