Jump to content

2 Domänen und 2 Zertifikate: SNI - Autodiscover nimmt falsches Zertifikat


Recommended Posts

moin,

 

ich habe eine Domain1 und eine Domain2. Für beide ist Split DNS eingerichtet. Im IIS sind 2 Zertifikate gebunden, für die Domain 2 ist dort SNI aktiviert. Das funktioniert soweit.

Nun möchte ich ein neues Mailprofil erstellen und wenn ich Domain1 oder Domain2 nehme, nimmt er immer das jeweils falsche Zertifikat.

Beide Zertifikate sind im Exchange an IIS und SMTP gebunden.

 

Kann man das irgendwie steuern?

 

Gruß DO

Link to comment

Ich hatte das zweite mit einem SNI eingebunden. Die konnten auch beide extern aufgerufen werden, nur macht Outlook halt Probleme mit dem Autodiscover.

 

Lösung 1: Zertifikat wo beide Domänen enthalten sind (teuerer)

Lösung 2: SRV Eintrag im öffentlichen DNS setzen. Allerdings sollten auch mobile Geräte darauf zugreifen können und ich weiß nicht ob SRV dann geht.

 

Gibt es noch eine Lösung3?

 

Link to comment

Du könntest HTTP-Redirect verwenden. Auf einem Server (muss nicht der Exchange sein) eine IP nur per HTTP erreichbar machen, nicht per HTTPS (HTTPS besser rejecten als droppen, sonst läuft Outlook in ein Timeout). Die HTTP-Site macht nichts anderes als einen Redirect auf https://autodiscover.domain.com/autodiscover. Dann passen Hostname und Zertifikat zusammen und Outlook fragt lediglich einmalig, ob man mit der Weiterleitung einverstanden ist. Anleitung: https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/

 

Wir haben das früher, als Hosted Exchange noch gefragt war, so gemacht. Heutzutage würde ich es zuerst mit der SRV-Methode versuchen in der Hoffnung, dass diese mittlerweile breit unterstützt wird. Dies wäre eleganter.

Link to comment
vor 7 Stunden schrieb Dutch_OnE:

Und ist ein Multi Domain Zertifikat nicht mehr state of the art?

Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste ;-) Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains.

 

Wenn Outlook der Client der Wahl ist, solltest Du mit SRV Records hinkommen, ansonsten halt, wie oben bereits gesagt, Redirects. 

Link to comment
vor 2 Stunden schrieb cj_berlin:

Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste ;-) Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains.

 

Naja, aber auch da ist außer "teuer" es möglich, verdammt viele Autodiscover Einträge in ein MultiDomain Zertifikat zu bekommen. Meine Zertifikatskollegen freuen sich immer, denn wenn wir es als erste mit ins MultiDomain aufnehmen, ist auch gleich sichergestellt, dass es postmaster, hostmaster und webmaster für die Maildomain gibt und die bei uns ins Ticketsystem laufen und Anfragen ordentlich bearbeitet werden können. Und wenn man ehrlich ist, so teuer ist es auch nicht.

Link to comment
vor 22 Minuten schrieb MrCocktail:

Naja, aber auch da ist außer "teuer" es möglich, verdammt viele Autodiscover Einträge in ein MultiDomain Zertifikat zu bekommen.

Ja bestimmt. Millionen. ;) und vor allem jederzeit weltweit sobald ein neuer Kunde kommt. :p

 

und vor allem gibts bei san Einträgen afair auch ein Limit.

Link to comment

Hi,

 

bei PSW Group gibt es das "Sectigo Lite Multidomain" (SSL-Zertifikat - Sectigo Lite Multidomain - PSW GROUP (psw-group.de)). Da sind bereits 3 FQDNs enthalten für 89 €. Weitere Domains gibt es dann ab 29 €. Ansonsten eben Let's Encrypt / Zero SSL / ... .

 

Bevor ich bei 2 Domains mit SRV Records oder http Redirect (oder auch Let's Encrypt) loslege, würde ich jährlich die 89 € (ggfs. 118 €) investieren.

 

Gruß

Jan

Link to comment
vor 22 Minuten schrieb NorbertFe:

Ja bestimmt. Millionen. ;) und vor allem jederzeit weltweit sobald ein neuer Kunde kommt. :p

 

und vor allem gibts bei san Einträgen afair auch ein Limit.

Ne für die Cloud macht es keinen Sinn und bei uns funktionieren auch SRV Einträge... ich wollte nur klarstellen, dass es im Zweifel nur ein "Geld" Problem ist und für vieles ist es einfacher, die Kosten in Kauf zu nehmen... Wir haben bei dem Kunden eine Applikation die macht halt sehr zuverlässig Autodiscover und funktioniert dann, allerdings will Sie dafür den Namen autodiscover.example.com finden.

 

Jetzt ist es deutlich einfacher, das Zertifikat passend zu haben, als die Applikation anzupassen.

Edited by MrCocktail
Link to comment

Ich habe jetzt über Powershell eine Anforderung mit autodiscover.domain1.de, autodiscover.domain2.de, mailhost.domain1.de und mailhost.domain2.de erstellt und mir bei der PSW ein Multi Zertifikat erstellt. Split DNS ist für beide Domains eingerichtet. Mal schauen, ob das so jetzt funktioniert.

 

Hintergrund: Beim Provider kann ich nicht selbstständig SRV, DNS, ... setzen, sondern muss das immer telefonisch beauftagen und dann warten.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...