Jump to content
Sign in to follow this  
Data1701

Exchange 2010 - Zertifikate für OWA

Recommended Posts

Mahlzeit,

 

ich habe ein kleines Problem. So wie ich es sehe, kann ich unter Exchange 2010 nur für OWA und ECP ein anders Zertifikat benutzen wie für die restlichen Dienste..... Ich kann nur das Zertifikat am IIS binden.

 

Das bedeutet, dass ich Zertifikate mit SANs brauche. Unsere interne Domäne muss dann allerdings auch in SANs genannt werden, das die FQDNs der Server ja benötigt werden.

 

Liege ich da mit meiner Auffassung richtig......

 

Gruß Data.....

Share this post


Link to post

Du kannst im Exchange 2010 auch alternativ Wildcard Zertifikate ( *.domäne.de) nehmen, nachteil ist das diese nicht für POP3 und IMAP funktionieren.

Share this post


Link to post
Du kannst im Exchange 2010 auch alternativ Wildcard Zertifikate ( *.domäne.de) nehmen, nachteil ist das diese nicht für POP3 und IMAP funktionieren.

 

Ist zwar ein supportetes Szenario, aber ich rate von Wildcardzertifikaten ab. Selbst Exchange 2010 nutzt teilweise noch "Relikte" aus WINS Zeiten - speziell beim Betrieb einer DAG und in ein Wildcardzertifikat bekommst du natülich keine NetBIOS-Namen rein.

 

Wird zwar prinzipiell funktionieren, aber es kann sein, dass es damit etwas unrund läuft.

Share this post


Link to post

Danke erst einmal für die ganzen Beiträge.

 

Es geht aber viel einfacher...... Leider scheigen sich viele HowTo etwas hierzu aus. Des weiteren sagt so ziemlich kein HowTo etwas dazu, wenn das TMG als Workgroup-Member in der DMZ läuft, da wird es nämlich etwas schwerer. Ich glaub ich werde hier mal in den nächsten Wochen ein How-To einstellen.

 

Also man benötigt NUR ein popliges offizielle SSL-Zertifikat, welches den externen Namen "absichert", evtl. noch als SAN autodiscover.domäne wenn man später noch Outlook Anywhere machen will. Intern kann ich eine eigenes Zert von einer eigenen CA mit x-tausend SANs, Wildcards etc. auf dem CAS nutzen.

 

Auf dem TMG wird das offizielle Zert importiert. Darauf achten, dass evtl. Zwischenzertifizierungsstellen der CA auch auf dem TMG installiert sind und zwar an der richtigen Stelle (Computerstore), da das TMG diese Intermediate CAs mitpubliziert. Wenn Ihr Certs von einem Store zum anderen schiebt muss dass TMG neu gestartet werden, da sont die Publikation nicht funktioniert und Euer Client eine Zertfikatsproblem anzeigt.

 

Zusätzlich wird auf dem TMG das Zert Eurer privaten Root-CA benötigt.

 

SSL-Listener einrichten und im Feld "interne Site" einfach die IP-Adresse der CAS-Server angeben. OWA Authentfizierung intern umstellen, nicht mehr Formularbasierend.

 

LDAP-Authentifizierung ist ein Thema für sich, das kommt aber alles noch.

 

Was passiert nun. Client fragt via https OWA an. Landet auf der TMG Formular-Anmeldung für OWA (Sieht aus wie OWA, steht aber klein drunter "Geschützt durch TMG"; ist also in Wirklichkeit das TMG).

 

TMG bricht den HTTPS Tunnel auf und arbeitet nun Richtung CAS mit dem internen Cert, dem vertraut das TMG, da die interne Root-CA zu den Vertrauenswürdigen Zert-Stellen hinzugefügt wurde.

 

Das ist die günsigste Lösung.

 

Gruß Data

Share this post


Link to post

Das ist die günsigste Lösung.

 

Japp ist es ;)

Hättest du in deinem Ausgangsposting bereits deine vollständige Infrastruktur inkl. TMG und Anforderungen beschrieben, dann wären wir da auch mit ziemlich hoher Wahrscheinlichkeit auch draufgekommen ;)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...