Jump to content

2 Domänen und 2 Zertifikate: SNI - Autodiscover nimmt falsches Zertifikat


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

moin,

 

ich habe eine Domain1 und eine Domain2. Für beide ist Split DNS eingerichtet. Im IIS sind 2 Zertifikate gebunden, für die Domain 2 ist dort SNI aktiviert. Das funktioniert soweit.

Nun möchte ich ein neues Mailprofil erstellen und wenn ich Domain1 oder Domain2 nehme, nimmt er immer das jeweils falsche Zertifikat.

Beide Zertifikate sind im Exchange an IIS und SMTP gebunden.

 

Kann man das irgendwie steuern?

 

Gruß DO

Link zu diesem Kommentar

Ich hatte das zweite mit einem SNI eingebunden. Die konnten auch beide extern aufgerufen werden, nur macht Outlook halt Probleme mit dem Autodiscover.

 

Lösung 1: Zertifikat wo beide Domänen enthalten sind (teuerer)

Lösung 2: SRV Eintrag im öffentlichen DNS setzen. Allerdings sollten auch mobile Geräte darauf zugreifen können und ich weiß nicht ob SRV dann geht.

 

Gibt es noch eine Lösung3?

 

Link zu diesem Kommentar

Du könntest HTTP-Redirect verwenden. Auf einem Server (muss nicht der Exchange sein) eine IP nur per HTTP erreichbar machen, nicht per HTTPS (HTTPS besser rejecten als droppen, sonst läuft Outlook in ein Timeout). Die HTTP-Site macht nichts anderes als einen Redirect auf https://autodiscover.domain.com/autodiscover. Dann passen Hostname und Zertifikat zusammen und Outlook fragt lediglich einmalig, ob man mit der Weiterleitung einverstanden ist. Anleitung: https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/

 

Wir haben das früher, als Hosted Exchange noch gefragt war, so gemacht. Heutzutage würde ich es zuerst mit der SRV-Methode versuchen in der Hoffnung, dass diese mittlerweile breit unterstützt wird. Dies wäre eleganter.

Link zu diesem Kommentar
vor 7 Stunden schrieb Dutch_OnE:

Und ist ein Multi Domain Zertifikat nicht mehr state of the art?

Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste ;-) Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains.

 

Wenn Outlook der Client der Wahl ist, solltest Du mit SRV Records hinkommen, ansonsten halt, wie oben bereits gesagt, Redirects. 

Link zu diesem Kommentar
vor 2 Stunden schrieb cj_berlin:

Überleg mal, wie dieses Zertifikat bei Exchange Online aussehen müsste ;-) Aber auch on premises kenne ich Installationen (jenseits von Hosted) mit einer hohen zweistelligen Anzahl SMTP-Domains.

 

Naja, aber auch da ist außer "teuer" es möglich, verdammt viele Autodiscover Einträge in ein MultiDomain Zertifikat zu bekommen. Meine Zertifikatskollegen freuen sich immer, denn wenn wir es als erste mit ins MultiDomain aufnehmen, ist auch gleich sichergestellt, dass es postmaster, hostmaster und webmaster für die Maildomain gibt und die bei uns ins Ticketsystem laufen und Anfragen ordentlich bearbeitet werden können. Und wenn man ehrlich ist, so teuer ist es auch nicht.

Link zu diesem Kommentar

Hi,

 

bei PSW Group gibt es das "Sectigo Lite Multidomain" (SSL-Zertifikat - Sectigo Lite Multidomain - PSW GROUP (psw-group.de)). Da sind bereits 3 FQDNs enthalten für 89 €. Weitere Domains gibt es dann ab 29 €. Ansonsten eben Let's Encrypt / Zero SSL / ... .

 

Bevor ich bei 2 Domains mit SRV Records oder http Redirect (oder auch Let's Encrypt) loslege, würde ich jährlich die 89 € (ggfs. 118 €) investieren.

 

Gruß

Jan

Link zu diesem Kommentar
vor 22 Minuten schrieb NorbertFe:

Ja bestimmt. Millionen. ;) und vor allem jederzeit weltweit sobald ein neuer Kunde kommt. :p

 

und vor allem gibts bei san Einträgen afair auch ein Limit.

Ne für die Cloud macht es keinen Sinn und bei uns funktionieren auch SRV Einträge... ich wollte nur klarstellen, dass es im Zweifel nur ein "Geld" Problem ist und für vieles ist es einfacher, die Kosten in Kauf zu nehmen... Wir haben bei dem Kunden eine Applikation die macht halt sehr zuverlässig Autodiscover und funktioniert dann, allerdings will Sie dafür den Namen autodiscover.example.com finden.

 

Jetzt ist es deutlich einfacher, das Zertifikat passend zu haben, als die Applikation anzupassen.

bearbeitet von MrCocktail
Link zu diesem Kommentar

Ich habe jetzt über Powershell eine Anforderung mit autodiscover.domain1.de, autodiscover.domain2.de, mailhost.domain1.de und mailhost.domain2.de erstellt und mir bei der PSW ein Multi Zertifikat erstellt. Split DNS ist für beide Domains eingerichtet. Mal schauen, ob das so jetzt funktioniert.

 

Hintergrund: Beim Provider kann ich nicht selbstständig SRV, DNS, ... setzen, sondern muss das immer telefonisch beauftagen und dann warten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...