Assassin 13 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Guten Morgen, Kurze frage zum Verständnis zwecks dem Extended Protection https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/ Gegeben ist: - ca. 50 User Umgebung - ca. 10 Außendienstler die sich ebenfalls via Handys und Outlook mit dem Exchange verbinden - einen Exchange 2019 Server, on Premise - eigene interne PKI um Selbstsignierte Zertifikate Netz-intern zu verwalten und zu nutzen - für die UTM/Firewall wird ein LetsEncrypt Zertifikat genutzt - UTM/Firewall mit aktivem ReverseProxy wo nur bestimmte Exchange Dienste durchkommen, ECP wird NICHT durchgelassen (von extern eingehend, URLpath_regex: ^/EWS ^/ews ^/mapi ^/Mapi ^/Microsoft-Server-ActiveSync ^/OAB ^/oab ^/owa ^/Autodiscover ^/autodiscover ^/eas ^/EAS ^/rpc ^/RPC ^/AUTODISCOVER ^/MAPI ^/exchange ^/Rpc ) dieser nutzt auch das LetsEncrypt Zertifikat für zugriffe von extern, intern leitet er die anfragen an den Exchange weiter mit dem selbstsigniertem Zertifikat Nach meinem Verständnis her würde es genau hier beim ReverseProxy knallen wenn ich Extended Protection aktivieren würde, da SSL Offloading nicht unterstützt wird. Ich müsste also das Letsencrypt Zertifikat auch dem IIS vom Exchange zuordnen, aber das wird ja aller 3 Monate getauscht - unschön also jedes mal das IIS Zertifikat zu tauschen, und das Selbstsignierte Zertifikate dem ReverseProxy mitgeben ist auch nicht schön. Wie macht man dann sowas? Oder habe ich da was falsch verstanden? Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Entweder Skriptest du am exchange das so hin, dass du das zert der Firewall importierst, oder du gibst die paar Euro pro Jahr für ein Zertifikat aus. ;) mit internen Zertifikaten auf dem exchange und let’s encrypt wird es Probleme geben. Du machst kein ssl offloading sondern ssl bridging und da hat ms ja ziemlich deutlich geschrieben, dass es dasselbe zert sein muss. Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 19. April 2023 Autor Melden Teilen Geschrieben 19. April 2023 (bearbeitet) jep, habe ich gelesen, dachte nur dass es auch ein SSL Offloading ist weil die anfragen ja erstmal auf dem Reverseproxy "landen" Gekaufte Zertifikate hatten wir früher mal, aber wenns das auch kostenlos mit LetsEncrypt gibt und die Firewall das automatisch aktualisiert kann mans ja auch so machen nur unschön das MS das jetzt unnötig kompliziert macht wenn man ein erhöhtes maß an Sicherheit haben möchte... bearbeitet 19. April 2023 von Assassin Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Hi, um welche UTM geht es? Evtl. bietet diese eine API zum scripten. Dann kannste dir das Zertifiakt an der UTM holen und am Exchange nutzen oder der Exchange übernimmt das und per API schiebste das Zertifikat auf die UTM. Alternativ eben @NorbertFes Vorschlag, ein paar Euro im Jahr in die Hand nehmen und ein Zertifikat kaufen. vor 6 Minuten schrieb Assassin: wenn man ein erhöhtes maß an Sicherheit haben möchte... Das Security aber auch immer alles teurer und/oder komplexer macht und/oder die Usability drunter leidet. Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 vor 14 Minuten schrieb testperson: um welche UTM geht es? Hoffentlich keine Sophos sg, denn dann wäre der ganze Aufwand für die Füße. ;) vor 15 Minuten schrieb testperson: Das Security aber auch immer alles teurer und/oder komplexer macht und/oder die Usability drunter leidet. Ja ehrlich ey. ;) Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 19. April 2023 Autor Melden Teilen Geschrieben 19. April 2023 Jagut, Security kostet, klar...aber manchmal beschleicht einem das gefühl, dass da einige andere ganz gerne mit verdienen wollen wohne effektiven Mehrwert... UTM = Securepoint Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 vor 50 Minuten schrieb Assassin: dass da einige andere ganz gerne mit verdienen wollen wohne effektiven Mehrwert... genau, MS hat bestimmt Beteiligungen an allen CAs der Welt inzwischen erworben. Wenn sie dich nicht mit der Cloud kriegen, dann eben über das SSL Zertifikat.... Bye Norbert vor 52 Minuten schrieb Assassin: UTM = Securepoint Kann ich nichts zu sagen, schaus dir an, ob du das weggeskriptet bekommst. Bei Kemp und Sophos SG müßte es gehen, die Sophos XGs hat keinen Lets encrypt client mehr. 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Was kostet ein externes Zert mit z.B. 4 SAN gegen den Aufwand? My2Cent 1 1 Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 1. Juni 2023 Autor Melden Teilen Geschrieben 1. Juni 2023 muss das Thema nochmal hoch holen...man könnte also jetzt ein Zertifikat kaufen für 99€ im Jahr in etwa (mehrere Subdomains, darum direkt Wildcard-Zertifikat, ReverseProxy unterstützt nur ein Zertifikat) und tauscht das Zertifikat 1x im Jahr aus, oder man bleibt beim LetsEncrypt Zertifikat aber muss es dann halt aller 3 Monate tauschen - ist dafür Kostenlos. Eine sache die ic mich noch etwas frage - wenn der Exchange dann ein öffentliches Zertifikat auf seinem IIS liegen hat, dann müssten die internen Client Computer aber die RootCA des Zertifikat-anbieters über das Internet erreichen müssen, damit Outlook nicht rummeckert, oder? Gibt ein paar Clients die haben zwar Outlook drauf - aber keine Internetverbindung (Webproxy mit authentifizierung only, und einige User dürfen halt nichts) Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 1. Juni 2023 Melden Teilen Geschrieben 1. Juni 2023 vor 1 Stunde schrieb Assassin: dann müssten die internen Client Computer aber die RootCA des Zertifikat-anbieters über das Internet erreichen müssen, damit Outlook nicht rummeckert, oder? Ja, die CRL solltest du ihnen zugestehen. ;) Aber zur Not könnte man das vermutlich auch irgendwie deaktivieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.