Wolke2k4 10 Posted February 2 Report Share Posted February 2 Hallo zusammen, ich wollte für einen Exchange Server über den Zert Assi des EAC einen CSR mit 2 Wildcard Einträgen erstellen lassen. Das geht so aber nicht, denn scheinbar akzeptiert der Assi nur eine Domain. Gibt es dafür einen Workaround oder muss ich mir das via Powershell zurechtbasteln? Ziel ist *.domain1.de und *.domain2.de im CN des Zerts zu hinterlegen... Quote Link to post
Dukel 363 Posted February 2 Report Share Posted February 2 Nimm doch alle FQDN mit auf. autodiscover.domain1.de autodiscover.domain2.de mail.domain1.de mail.domain2.de Quote Link to post
MurdocX 287 Posted February 2 Report Share Posted February 2 Google mal nach SAN Zertifikaten. 1 Quote Link to post
Wolke2k4 10 Posted February 3 Author Report Share Posted February 3 vor 10 Stunden schrieb MurdocX: Google mal nach SAN Zertifikaten. ? Ein solches Zert soll es doch auch werden aber im CN müssen in diesem Fall 2 Wildcardeinträge stehen... mein Problem ist nicht der Zertifikatstyp sondern der Exchange Assistent für die Erstellung des Zerts, der beim Versuch 2 Wildcardeinträge anzugeben mit einer Fehlermeldung abbricht... Suche danach hat bisher nichts gebracht. Quote Link to post
Nobbyaushb 709 Posted February 3 Report Share Posted February 3 Moin, ich bin bei Jan - Wildcard können arge Probleme machen, ich würde auch lieber SAN-Cert verwenden... Ich kann mal jemanden fragen ob das überhaupt geht, mehr als eine Domain in einem Wildcard zu haben... Quote Link to post
NilsK 1,390 Posted February 3 Report Share Posted February 3 Moin, "gehen" müsste es ja von allen Seiten. Der Server müsste damit umgehen können und der Client. Da sowohl Server als auch Client in diesem Szenario sehr unterschiedlich sein können, würde ich den Abbruch des Exchange-Assistenten schon als sehr starkes Indiz werten, dass das aussichtslos ist. Abgesehen davon, sind Wildcard-Zertifikate Murks in Bezug auf Sicherheit. Und das widerspricht dann irgendwie dem Sinn des Ganzen. Gruß, Nils Quote Link to post
MrCocktail 113 Posted February 3 Report Share Posted February 3 Moin, laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich. Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat. Gruß J Quote Link to post
Wolke2k4 10 Posted February 3 Author Report Share Posted February 3 vor 9 Minuten schrieb MrCocktail: Moin, laut RFC sind zwei Wildcards in einem Zertifikat nicht vorgesehen, daher auch nicht möglich. Ich würde immer auf SAN Zertifikate setzen, auch wenn unser "längstes" inzwischen irgendwas um die 70 Einträge hat. Gruß J Hast Du mal einen Link zum RFC? Danke für den Input soweit vom Rest. Dann werden wir da wohl doch anders vorgehen. Quote Link to post
MrCocktail 113 Posted February 3 Report Share Posted February 3 @Wolke2k4 Nope... Auf die Suche bin ich einmal gegangen und der Link ist leider bei irgendeinem Rechnerwechsel verlorengegangen. Quote Link to post
tesso 207 Posted February 3 Report Share Posted February 3 Das müssten die RFC 2828 und 3280 sein. Wenn ich das beim Überfliegen richtig verstanden habe gibt es zwei Meinungen. Einmal darf nur ein WIldcard Cert im CN stehen, logisch. Weiterhin können weitere Wildcards im SAN stehen. Ich habe bewusst noch kein solches Zertifikat gesehen. Quote Link to post
cj_berlin 173 Posted February 3 Report Share Posted February 3 Moin, rein von der X.509-Spezifikation her spricht IMHO nichts dagegen. Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs Auch ich habe noch nie ein solches Zertifikat außerhalb eines PKI-Labors gesehen, daher würde ich Dir raten, die Anforderung mit anderen Mitteln zu lösen. Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch. Vielleicht schaust Du dir mal an, wie die das machen, dann wird Dir einiges klarer. Quote Link to post
tesso 207 Posted February 3 Report Share Posted February 3 vor 25 Minuten schrieb cj_berlin: Die Interpretation des Zertifikats durch die betroffenen Applikationen ist eine andere Frage, und da helfen keine RFCs Richtig, da habe ich schon einiges erlebt. vor 25 Minuten schrieb cj_berlin: Hinweis: O365 verwaltet Zehntausende, wenn nicht Hunderttausende Domains, und schaffen das auch. Die Variante habe ich bei Kunden im Einsatz. Bei nur zwei Domains, würde ich einfach die vier Namen ins Zertifikat schreiben und fertig. Die MS Lösung ist von von Vorteil, wenn immer weitere Domains hinzukommen. Quote Link to post
NorbertFe 734 Posted February 3 Report Share Posted February 3 vor 3 Stunden schrieb cj_berlin: dann wird Dir einiges klarer. und einfacher ist die Lösung auch. ;) Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.