SAN Zertifikat für Exchange 2007

[crivi 10]

Hallo zusammen

 

Wir betreiben einen Exchange 2007. Nun ist des öftern der Wunsch geäussert worden, auch von extern auf diesen via OWA zugreifen zu können.

 

Dem steht eigentlich nix im Web. HTTPS Port in der Firewall öffnen und auf Exchange Server weiterleiten.

 

Nun haben wir lediglich noch das Problem mit den Zertifikaten.

Ich habe hier desöftern gelesen man müsse sog. SAN-Zertifikate nehmen.

 

Nun habe ich hierzu einige Fragen:

 

Der OWA wird folgendermassen angesprochen srv02.domain.ltd/owa

Gibt es die Möglichkeit, das Zertifikat auch für andere SubDomains zu nutzen, oder muss ich das Zertifikat zwingend auf srv02.domain.ltd ausstellen?

 

Woher bekomme ich ein solches Zertifikat?

 

Wie muss ich das Zertifikat beim Exchange Server einfügen?

 

Habt Ihr bei euch auch einfach den HTTPS-Port gegen aussen geöffnet, oder wie habt ihr den OWA gegen aussen publiziert?

 

Besten Dank für Eure Hilfe.

 

Gruss Raffi

[BrainStorm 10]

Hallo crivi

 

Der OWA wird folgendermassen angesprochen srv02.domain.ltd/owa

Gibt es die Möglichkeit, das Zertifikat auch für andere SubDomains zu nutzen, oder muss ich das Zertifikat zwingend auf srv02.domain.ltd ausstellen?

Du kannst mehrere Domainnamen in das selbe Zertifikat packen. Genau das sind ja die Vorteile eines SAN-Zertifikats

 

Woher bekomme ich ein solches Zertifikat?

Beispielsweise Verisign, Thawte, GoDaddy um nur einige zu nennen. Mit Thawte habe ich bisher die besten Erfahrungen

 

Wie muss ich das Zertifikat beim Exchange Server einfügen?

 

Mittels Import-ExchangeCertificate und Enable-ExchangeCertificate

 

Habt Ihr bei euch auch einfach den HTTPS-Port gegen aussen geöffnet, oder wie habt ihr den OWA gegen aussen publiziert?

 

Sowohl über ISA2006 veröffentlicht, als auch direkt auf den Server weitergeleitet. Kommt auf den Kunden drauf an

[crivi 10]

Vielen Dank für Deine Antwort.

 

Kann ich mir das SAN-Zertifikat wie ein SSL Zertifikat mit mehreren Domains vorstellen?

Kann ich das SAN Zertifikat schlussendlich auch für https im IIS verwenden?

 

Gruss Raffi

[NorbertFe 2.279]

Sowohl über ISA2006 veröffentlicht, als auch direkt auf den Server weitergeleitet. Kommt auf den Kunden drauf an

 

Wobei bei der Verwendung von ISA 2006 der interne Name nicht im SAN Cert auftauchen muß. Denn der ist über extern sowieso nicht zu erreichen...

 

Bye

Norbert

[crivi 10]

Wir verwenden keine ISA Firewall. Wir regeln dies über eine Linux Firewall.

 

Bei Thawte finde ich keine SAN Zertifikate. Gibt es für diese Zertifikate noch eine andere Bezeichnung?

 

Besten Dank.

–

Aber rein theoretisch würde in meinem Fall ein einfaches SSL-Zertifikat auch reichen, oder?

 

Ich brauche lediglich ein Zertifikat für die Domain srv02.domain.ltd, da ich via https://srv02.domain.ltd/owa darauf zugreife.

 

Ein SAN bräuchte ich, wenn ich noch srv03.domain.ltd und srv04.domain.ltd hinzunehmen möchte.

 

Oder sehe ich das falsch?

 

Gruss Raffi

[NorbertFe 2.279]

Wir verwenden keine ISA Firewall. Wir regeln dies über eine Linux Firewall.

 

Es ging auch eher prinzipbedingt darum, weil du nach dem internen Namen fragtest. Und wenn man den extern nicht präsentieren will, dann sollten man eben um entsprechende Maßnahmen wissen.

 

Bye

Norbert

[BrainStorm 10]

Microsoft empfiehlt ausserdem noch den autodiscover.domain.tld als Subject Alternative Name mit in das Zertifikat aufzunehmen.

[crivi 10]

autodiscover.domain.ltd gibt es bei mir gar nicht. Bei mir heisst es https://srv02.domain.ltd/autodiscover

 

Ist dies auch korrekt?

 

Gruss Raffi

[BrainStorm 10]

Betrifft hauptsächlich Outlook 2007, welches per default folgende Hostnamen für die Webservices (OOF/FreeBusy etc) anfrägt:

https://autodiscover.domain.tld/autodiscover.xml

https://autodiscover.domain.tld/autodiscover/autodiscover.xml

[Lian 2.659]

Hallo,

 

Frank Carius hat einen recht guten Artikel dazu: MSXFAQ.DE - SANZertifkate

[NorbertFe 2.279]

autodiscover.domain.ltd gibt es bei mir gar nicht. Bei mir heisst es https://srv02.domain.ltd/autodiscover

 

Ist dies auch korrekt?

 

Gruss Raffi

 

Sollte es aber geben, da du sonst Probleme mit OOF/OAB und Autodiscover bekommen kannst. ;) Siehe Links von Brainstorm.

 

Bye

Norbert

[crivi 10]

Also der Servername ist srv02

Die Domain ist domain.ltd

 

Der Server wird von extern srv02.domain.ltd

Muss ich nun noch eine Subdomain autodiscover.domain.ltd einrichten, welche auf die IP des srv02.domain.ltd zeigt?

 

Würde das so reichen?

[BrainStorm 10]

Also der Servername ist srv02

Die Domain ist domain.ltd

 

Der Server wird von extern srv02.domain.ltd

Muss ich nun noch eine Subdomain autodiscover.domain.ltd einrichten, welche auf die IP des srv02.domain.ltd zeigt?

 

Würde das so reichen?

 

Es reicht wenn du einen Alias (CNAME) Eintrag im DNS anlegst. Wenn du Outlook 2007 über das Internet (Outlook Anywhere) nutzen möchstest, dann solltest du ebenfalls einen Eintrag autodiscover.domain.tld von deinem DNSProvider eintragen lassen.

Alternativ dazu kannst du auch das Verhalten von Outlook beeinflussen oder folgenden KB Eintrag befolgen ;)

 

A new feature is available that enables Outlook 2007 to use DNS Service Location (SRV) records to locate the Exchange Autodiscover service

[crivi 10]

Ah okay. Na dann werde ich diesen noch nachtragen.

 

Welches Zertifikat bei Thawte ist den das sog. SAN Zertifikat?

Ich kann es nicht finden.

[BrainStorm 10]

Bei Thawte gibts nur Wildcard Zertifikate die recht teuer sind und für deinen Zweck wohl auch leicht oversized ;)

 

Microsoft arbeitet offiziell mit folgenden Ausstellern zusammen:

Unified Communications Certificate Partners for Exchange 2007 and for Communications Server 2007