Jump to content

onPrem Exchange 2019 hinter ReverseProxy: Extended Protection möglich mit verschiedenen Zertifikaten?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen,

Kurze frage zum Verständnis zwecks dem Extended Protection https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/

Gegeben ist:

- ca. 50 User Umgebung

- ca. 10 Außendienstler die sich ebenfalls via Handys und Outlook mit dem Exchange verbinden

- einen Exchange 2019 Server, on Premise

- eigene interne PKI um Selbstsignierte Zertifikate Netz-intern zu verwalten und zu nutzen

- für die UTM/Firewall wird ein LetsEncrypt Zertifikat genutzt

- UTM/Firewall mit aktivem ReverseProxy wo nur bestimmte Exchange Dienste durchkommen, ECP wird NICHT durchgelassen (von extern eingehend, URLpath_regex:
^/EWS ^/ews ^/mapi ^/Mapi ^/Microsoft-Server-ActiveSync ^/OAB ^/oab ^/owa ^/Autodiscover ^/autodiscover ^/eas ^/EAS ^/rpc ^/RPC ^/AUTODISCOVER ^/MAPI ^/exchange ^/Rpc )

dieser nutzt auch das LetsEncrypt Zertifikat für zugriffe von extern, intern leitet er die anfragen an den Exchange weiter mit dem selbstsigniertem Zertifikat

 

 

Nach meinem Verständnis her würde es genau hier beim ReverseProxy knallen wenn ich Extended Protection aktivieren würde, da SSL Offloading nicht unterstützt wird. Ich müsste also das Letsencrypt Zertifikat auch dem IIS vom Exchange zuordnen, aber das wird ja aller 3 Monate getauscht - unschön also jedes mal das IIS Zertifikat zu tauschen, und das Selbstsignierte Zertifikate dem ReverseProxy mitgeben ist auch nicht schön.

 

Wie macht man dann sowas? Oder habe ich da was falsch verstanden?

 

Link zu diesem Kommentar

Entweder Skriptest du am exchange das so hin, dass du das zert der Firewall importierst, oder du gibst die paar Euro pro Jahr für ein Zertifikat aus. ;) mit internen Zertifikaten auf dem exchange und let’s encrypt wird es Probleme geben. Du machst kein ssl offloading sondern ssl bridging und da hat ms ja ziemlich deutlich geschrieben, dass es dasselbe zert sein muss.

Link zu diesem Kommentar

jep, habe ich gelesen, dachte nur dass es auch ein SSL Offloading ist weil die anfragen ja erstmal auf dem Reverseproxy "landen"

Gekaufte Zertifikate hatten wir früher mal, aber wenns das auch kostenlos mit LetsEncrypt gibt und die Firewall das automatisch aktualisiert kann mans ja auch so machen :D nur unschön das MS das jetzt unnötig kompliziert macht wenn man ein erhöhtes maß an Sicherheit haben möchte...

bearbeitet von Assassin
Link zu diesem Kommentar

Hi,

 

um welche UTM geht es? Evtl. bietet diese eine API zum scripten. Dann kannste dir das Zertifiakt an der UTM holen und am Exchange nutzen oder der Exchange übernimmt das und per API schiebste das Zertifikat auf die UTM. Alternativ eben @NorbertFes Vorschlag, ein paar Euro im Jahr in die Hand nehmen und ein Zertifikat kaufen.

 

vor 6 Minuten schrieb Assassin:

wenn man ein erhöhtes maß an Sicherheit haben möchte...

Das Security aber auch immer alles teurer und/oder komplexer macht und/oder die Usability drunter leidet. ;-)

 

Gruß

Jan

Link zu diesem Kommentar
vor 50 Minuten schrieb Assassin:

dass da einige andere ganz gerne mit verdienen wollen wohne effektiven Mehrwert...

genau, MS hat bestimmt Beteiligungen an allen CAs der Welt inzwischen erworben.

Compliance will be rewarded | Funny, Funny pictures, Cool cartoons

Wenn sie dich nicht mit der Cloud kriegen, dann eben über das SSL Zertifikat....

 

Bye

Norbert

vor 52 Minuten schrieb Assassin:

UTM = Securepoint

Kann ich nichts zu sagen, schaus dir an, ob du das weggeskriptet bekommst. Bei Kemp und Sophos SG müßte es gehen, die Sophos XGs hat keinen Lets encrypt client mehr.

Link zu diesem Kommentar
  • 1 Monat später...

muss das Thema nochmal hoch holen...man könnte also jetzt ein Zertifikat kaufen für 99€ im Jahr in etwa (mehrere Subdomains, darum direkt Wildcard-Zertifikat, ReverseProxy unterstützt nur ein Zertifikat) und tauscht das Zertifikat 1x im Jahr aus, oder man bleibt beim LetsEncrypt Zertifikat aber muss es dann halt aller 3 Monate tauschen - ist dafür Kostenlos.

 

Eine sache die ic mich noch etwas frage - wenn der Exchange dann ein öffentliches Zertifikat auf seinem IIS liegen hat, dann müssten die internen Client Computer aber die RootCA des Zertifikat-anbieters über das Internet erreichen müssen, damit Outlook nicht rummeckert, oder? Gibt ein paar Clients die haben zwar Outlook drauf - aber keine Internetverbindung (Webproxy mit authentifizierung only, und einige User dürfen halt nichts)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...