Jump to content

Wildcard SSL Zert für Exchange mit 2 Domains?


Recommended Posts

Hallo zusammen,

 

ich wollte für einen Exchange Server über den Zert Assi des EAC einen CSR mit 2 Wildcard Einträgen erstellen lassen. Das geht so aber nicht, denn scheinbar akzeptiert der Assi nur eine Domain.

Gibt es dafür einen Workaround oder muss ich mir das via Powershell zurechtbasteln?

 

Ziel ist *.domain1.de und *.domain2.de im CN des Zerts zu hinterlegen...

Link to post
vor 10 Stunden schrieb MurdocX:

Google mal nach SAN Zertifikaten. 

?

Ein solches Zert soll es doch auch werden aber im CN müssen in diesem Fall 2 Wildcardeinträge stehen... mein Problem ist nicht der Zertifikatstyp sondern der Exchange Assistent für die Erstellung des Zerts, der beim Versuch 2 Wildcardeinträge anzugeben mit einer Fehlermeldung abbricht... Suche danach hat bisher nichts gebracht.

Link to post

Moin,

 

"gehen" müsste es ja von allen Seiten. Der Server müsste damit umgehen können und der Client. Da sowohl Server als auch Client in diesem Szenario sehr unterschiedlich sein können, würde ich den Abbruch des Exchange-Assistenten schon als sehr starkes Indiz werten, dass das aussichtslos ist.

 

Abgesehen davon, sind Wildcard-Zertifikate Murks in Bezug auf Sicherheit. Und das widerspricht dann irgendwie dem Sinn des Ganzen.

 

Gruß, Nils

 

Link to post

Moin,

 

laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich.

 

Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat.

 

Gruß

J

Link to post
vor 9 Minuten schrieb MrCocktail:

Moin,

 

laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich.

 

Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat.

 

Gruß

J

Hast Du mal einen Link zum RFC?

 

Danke für den Input soweit vom Rest. Dann werden wir da wohl doch anders vorgehen.

Link to post

Das müssten die RFC 2828 und 3280 sein.

 

Wenn ich das beim Überfliegen richtig verstanden habe gibt es zwei Meinungen. 

Einmal darf nur ein WIldcard Cert im CN stehen, logisch.

Weiterhin können weitere Wildcards im SAN stehen. 

 

Ich habe bewusst noch kein solches Zertifikat gesehen.

 

 

Link to post

Moin,

 

rein von der X.509-Spezifikation her spricht IMHO nichts dagegen. Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs :-) 

Auch ich habe noch nie ein solches Zertifikat außerhalb eines PKI-Labors gesehen, daher würde ich Dir raten, die Anforderung mit anderen Mitteln zu lösen. Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch. Vielleicht schaust Du dir mal an, wie die das machen, dann wird Dir einiges klarer.

Link to post
vor 25 Minuten schrieb cj_berlin:

Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs

Richtig, da habe ich schon einiges erlebt.

vor 25 Minuten schrieb cj_berlin:

Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch.

Die Variante habe ich bei Kunden im Einsatz. Bei nur zwei Domains, würde ich einfach die vier Namen ins Zertifikat schreiben und fertig.

Die MS Lösung ist von von Vorteil, wenn immer weitere Domains hinzukommen. 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...