Wildcard SSL Zert für Exchange mit 2 Domains?

[Wolke2k4 10]

• 
• 
• 

Hallo zusammen,

 

ich wollte für einen Exchange Server über den Zert Assi des EAC einen CSR mit 2 Wildcard Einträgen erstellen lassen. Das geht so aber nicht, denn scheinbar akzeptiert der Assi nur eine Domain.

Gibt es dafür einen Workaround oder muss ich mir das via Powershell zurechtbasteln?

 

Ziel ist *.domain1.de und *.domain2.de im CN des Zerts zu hinterlegen...

[Dukel 351]

Nimm doch alle FQDN mit auf.

autodiscover.domain1.de

autodiscover.domain2.de

mail.domain1.de

mail.domain2.de

[MurdocX 245]

Google mal nach SAN Zertifikaten. 

[Wolke2k4 10]

vor 10 Stunden schrieb MurdocX:

Google mal nach SAN Zertifikaten. 

?

Ein solches Zert soll es doch auch werden aber im CN müssen in diesem Fall 2 Wildcardeinträge stehen... mein Problem ist nicht der Zertifikatstyp sondern der Exchange Assistent für die Erstellung des Zerts, der beim Versuch 2 Wildcardeinträge anzugeben mit einer Fehlermeldung abbricht... Suche danach hat bisher nichts gebracht.

[Nobbyaushb 636]

Moin,

ich bin bei Jan - Wildcard können arge Probleme machen, ich würde auch lieber SAN-Cert verwenden...

 

Ich kann mal jemanden fragen ob das überhaupt geht, mehr als eine Domain in einem Wildcard zu haben...

[NilsK 1,217]

Moin,

 

"gehen" müsste es ja von allen Seiten. Der Server müsste damit umgehen können und der Client. Da sowohl Server als auch Client in diesem Szenario sehr unterschiedlich sein können, würde ich den Abbruch des Exchange-Assistenten schon als sehr starkes Indiz werten, dass das aussichtslos ist.

 

Abgesehen davon, sind Wildcard-Zertifikate Murks in Bezug auf Sicherheit. Und das widerspricht dann irgendwie dem Sinn des Ganzen.

 

Gruß, Nils

 

[MrCocktail 103]

Moin,

 

laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich.

 

Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat.

 

Gruß

J

[Wolke2k4 10]

vor 9 Minuten schrieb MrCocktail:

Moin,

 

laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich.

 

Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat.

 

Gruß

J

Hast Du mal einen Link zum RFC?

 

Danke für den Input soweit vom Rest. Dann werden wir da wohl doch anders vorgehen.

[MrCocktail 103]

@Wolke2k4

Nope... Auf die Suche bin ich einmal gegangen und der Link ist leider bei irgendeinem Rechnerwechsel verlorengegangen.

[tesso 176]

Das müssten die RFC 2828 und 3280 sein.

 

Wenn ich das beim Überfliegen richtig verstanden habe gibt es zwei Meinungen. 

Einmal darf nur ein WIldcard Cert im CN stehen, logisch.

Weiterhin können weitere Wildcards im SAN stehen. 

 

Ich habe bewusst noch kein solches Zertifikat gesehen.

 

 

[cj_berlin 76]

Moin,

 

rein von der X.509-Spezifikation her spricht IMHO nichts dagegen. Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs  

Auch ich habe noch nie ein solches Zertifikat außerhalb eines PKI-Labors gesehen, daher würde ich Dir raten, die Anforderung mit anderen Mitteln zu lösen. Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch. Vielleicht schaust Du dir mal an, wie die das machen, dann wird Dir einiges klarer.

[tesso 176]

vor 25 Minuten schrieb cj_berlin:

Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs

Richtig, da habe ich schon einiges erlebt.

vor 25 Minuten schrieb cj_berlin:

Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch.

Die Variante habe ich bei Kunden im Einsatz. Bei nur zwei Domains, würde ich einfach die vier Namen ins Zertifikat schreiben und fertig.

Die MS Lösung ist von von Vorteil, wenn immer weitere Domains hinzukommen. 

[NorbertFe 798]

vor 3 Stunden schrieb cj_berlin:

dann wird Dir einiges klarer.

und einfacher ist die Lösung auch. ;)