Jump to content

Neues Exchange Server Zertifikat / Active Sync


Go to solution Solved by Squire,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen, 

 

wir haben aktuell folgende Infrastruktur:

 

- Exchangeserver 2010 -> Self-Sign Zertifikat

- Sophos UTM mit Webserver Protection - Self-Sign Zertifikat.

- Diverse ActiveSync Endgeräte sowohl Apple als auch Android.

 

Die SelfSign Zertifikate sind innerhalb der Domäne per GPO auf die PC´s verteilt worden. Bei den Endgeräten als auch bei OWA wurde bzw. wird der Zertifikatsfehler einfach akzeptiert.

 

- Eine neu aufgesetzte zweistufige CA.

 

Was ich vor habe:

Ich würde nun gerne den ExchangeServer sauber konfigurieren. Also die Connectoren sauber konfigurieren (Externe URL).

 

Outlook Anyware aktivieren mit DNS Einträgen und allem was dazu gehört.

 

Außerdem möchte ich dann ein neues Zertifikat durch unsere neue interne CA für die Dienste ausstellen.

 

Soweit ist mir der Ablauf klar. Allerdings frage ich mich was passiert, wenn ich dem neuen Zertifikat die Dienste zuordne.

Meine Befürchtung ist, dass die ActiveSync Endgeräte sich nicht mehr mit dem Exchange-Server verbinden, da dieser nun mit einem neuen Zertifikat antwortet, welches sie ebenfalls nicht als Vertrauenswürdig einstufen.

 

kann ich das Problem umgehen ?

 

Schönen Dank für Euro Unterstüzung!!

 

 

 

 

 

 

 

Edited by xxGhostdriverxx
Link to comment

Hallo Danke für eure Antworten.

 

@Norbert FE

mit einem gekauften Zertifikat wird sicher kein Fehler auftauchen, solange es gültig ist  ? Das heißt das neue wird ohne Meldung übernommen ?

 

@Board Veteran

richtig! Wichtig ist mir, vor allem die Kommunikation nach außen, (OWA, ActiceSync, Outlook Anyware mit autodiscover)

Wichtig ist also welches Zertifikat die UTM über den Reverse Proxy veröffentlicht.

 

Was für ein Zertifikat kauf man am besten ?

 

ich dachte an folgende URL´s

 

owa.Domain.de

oa.Domain.de

autodiscover.Domain.de

 

reichen die Einträge ? Macht es Sinn die .local Einträge mit in das Zertifikat aufzunehmen ?

 

 

Danke und Gruß,

xxGhostdriverxx

Link to comment

Hallo Danke für eure Antworten.

 

@Norbert FE

mit einem gekauften Zertifikat wird sicher kein Fehler auftauchen, solange es gültig ist  ? Das heißt das neue wird ohne Meldung übernommen ?

 

@Board Veteran

richtig! Wichtig ist mir, vor allem die Kommunikation nach außen, (OWA, ActiceSync, Outlook Anyware mit autodiscover)

Wichtig ist also welches Zertifikat die UTM über den Reverse Proxy veröffentlicht.

 

Was für ein Zertifikat kauf man am besten ?

 

ich dachte an folgende URL´s

 

owa.Domain.de

oa.Domain.de

autodiscover.Domain.de

 

reichen die Einträge ? Macht es Sinn die .local Einträge mit in das Zertifikat aufzunehmen ?

 

 

Danke und Gruß,

xxGhostdriverxx

Moin, bei gekauften Zertifikaten kannst du keine .local mit aufnehmen, das geht nur bei Zertifikaten aus der eigenen Root-CA.

 

Wofür steht das oa.?

 

;)

PS: ich heiße auch Norbert...

Link to comment

Super,

 

wenn ich das alles zusammenfasse müsste ich folgendermaßen vorgehen.

  1.  Im Clientzugriff bei allen Diensten (OWA, Actice Sync und Outlook Anyware) die externe URL owa.Domain.de eintragen.
  2.  Neue Zertifikatsanfrage (OWA im Internet owa.Domain.de eintragen, Exchange Active Sync owa.Domain.de eintragen und Webdienste haken bei Auto Ermittlung im Internet -> Lange URL --> autodiscover.Domain.de eintragen.
  3. Zertifikat mit zwei Einträgen kaufen:
  • OWA.Domain.de
  • Autodisover.Domain.de --> Weil Outlook diese URL automatisch abfragt oder ?

4. Autodiscover.Domain.de DNS Eintrag beim Provider setzten lassen.

5. Zertifikatsanfrage abschließen und dem Zertifikat die IIS Dienste zuordnen.

6. Das gleiche Zertifikat auf der UTM importieren.

 

Die Apple und Andriod Endgeräte bekommen so nichts von dem Vorgang mit, da das neue Zertifikat Gültig ist oder ?

 

Muss ich für die interne .local Domain ein zweites Zertifikat über meine interne CA ausstellen und dem ebenfalls den IIS Dienst zuordnen ?

 

Danke und Gruß,

Link to comment

Alles soweit richtig.

 

Du kannst entweder dein eigenes Zertifikat für die interne Kommunikation verwenden oder vewendest das externe Zertifikat auch auf dem Exchange, die UTM müsste diesem eigentlich vertrauen, da es von einer externen, vertrauenswürdigen Quelle kommt.

 

Aber da kenne ich mich nicht so gut aus, die Sophos UTM verwende ich meist nicht (oder habe jemanden zur Hand...)

 

NorbertFe noch Einwände?

 

;)

 

Achja, Nachtrag - nicht dem IIS zuweisen, sondern über den Exchange - außerdem kann der IIS technisch nur ein Zertifikat.

Edited by Nobbyaushb
Link to comment

Ok Ich binde das öffentliche Zertifikat ein. In diesem kann ich keine.local Domain hinterlegen -- Soweit klar.

 

Wenn jetzt ein Interer Client auf den Server zugreift, versucht das Outlook doch aber über Server.interneDoamin.local auf den Exchange-Server zuzugreifen oder nicht?

Dieser Name stimmt aber nicht mit dem im öffentlichen Zertifikat überein. Das müsste doch auf einen Fehler laufen, oder übersehe ich was :confused:

 

Danke!

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...