redlord
Goto Top

Wildcard Zertifikat und Exchange 2013

Folgendes Szenario:

Hauptdomäne ist mydom.de, darunter existieren vpn.mydom.de und mail.mydom.de (2 externe Anbindungen), das interne netz dahinter heist verwaltung.mydom.de.

Jetzt habe ich ein wildcard Zertifikat *.mydom.de, welches eigentlich alles erdenkliche abdecken soll. Tut es auch soweit, ich montiere dieses in Exchange 2013 und kann ohne Zertifikatsfehler alles Benutzen, sowohl OWA als auch Active Sync über die mail bzw vpn. Alles kein problem. Wenn ich jetzt aber Outlook auf den Clients aufrufe, erzählt er mir, das das Sicherheitsezertifikat nicht passt er wolle unbedingt was server.verwaltung.mydom.de haben und das komisch *.mydom.de ging so ja nicht. Wie bringe ich Outlook bei, das ein Wildcard Zertifikat das alles abdeckt und verwaltung.mydom.de in *.mydom.de enthalten ist? (Outlook 2010)

gruß

Content-Key: 252723

Url: https://administrator.de/contentid/252723

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: SeaStorm
SeaStorm 22.10.2014 aktualisiert um 10:37:39 Uhr
Goto Top
hi

ein *.mydom.de Zertifikat deckt nur die erste Subdomänen-Ebene ab.
für die 2te bräuchtest du ein*.verwaltung.mydom.de

Aber da es ja eh ein internes Netz ist, solltest du für diese Ebene einfach ein selbstsigniertes erstellen (und entsprechend im IIS eintragen) und deinen Clients per GPO als vertrauenswürdiges Zertifikat zuweisen, bzw gleich ein Domänen-CA erstellen und es darüber abwickeln.
Mitglied: redlord
redlord 22.10.2014 um 11:27:18 Uhr
Goto Top
Ich kann aber ja nur ein Zertifikat einstellen für den Dienst in Ex2013. Und es ist ja auch nur eine Ebene der server heist ja nur server.verwaltung.mydom.de. Die Domäne ist ja Verwaltung.mydom.de ... sub1.sub2.mydom.de wären ja erst zwei Ebenen
Mitglied: SeaStorm
SeaStorm 22.10.2014 aktualisiert um 11:48:23 Uhr
Goto Top
du hast geschrieben das Outlook SERVER.verwaltung.mydom.de beanstanded. Das wäre die 2. Ebene.

Aber egal.
Du musst in der Exchange verwaltungskonsole beim Outlook Anywhere die URL für Extern prüfen. Da muss mail.mydom.de rein
Dann die Eigenschaften der OWA öffnen und Extern.intern angeben. Extern muss da mail.mydom.de/owa stehen und intern Server.verwaltung.mydom.de/owa

dann im IIS:

erst ein Zertifikat erstellen für server.verwaltung.mydom.de (oder entsprechend über die CA) und das auch per GPO verteilen.

Dann in der Defaultsite auf Bindung klicken. Da sollte schon mindestens eine Bindung für HTTPS existieren.
Da musst du dafür sorgen das für die interne und externe Adresse jeweils eine Bindung existiert mit dem zugehörigen Zertifikat.
Mitglied: redlord
redlord 22.10.2014 um 11:56:25 Uhr
Goto Top
Stimmt, mit dem Servernamen ist es dann die zweite eben, der outlook sieht ja die url server.verwaltung.mydom.de .. stimmt.

I
Mitglied: redlord
redlord 23.10.2014 um 10:59:51 Uhr
Goto Top
Okay das klingt logisch, ich hatte nicht daran gedacht das der Servername ja teil der Domäne ist und dann es ja schon zwei ebenen gibt.

Das ganze ist ja dann so aufgebaut das die externen Anfragen auf die mail und vpn (das sind zwei DSL Business mit festen ips) auf den Exchange weitergeleitet werden. Wie soll ich denn jetzt aber trennen was von intern oder extern kommt? Ich kann ja auf die selbe IP keine zwei https Bindungen auf den selben Port (443) anlegen. In der Bindung selbst kann ich das Zertifikat ja wählen.. (Mal abgesehen könnte ich natürlich eine zusätzliche Netzwerkkarte (der hat 4) verwenden, die dann nur für externe anfragen verwendet wird und auch in keinem DNS auftaucht, damit outlook sich nicht doch versucht darauf zu verbinden. Dann könnte ich zwei Zertfikate verwenden ...) Oder gibts da einen anderen weg .. ?
Mitglied: SeaStorm
SeaStorm 23.10.2014 aktualisiert um 12:06:42 Uhr
Goto Top
2 Netzwerkkarten sind da vermutlich die beste Lösung.

Sagen wir mal Adapter 1 ist für Extern gedacht und Adapter 2 für intern.
Dann stellst du Adapter 1 so ein, das er den entsprechenden Gateway verwendet, der für die Externe Leitung verantwortlich ist. Unter TCP/IPv4 auf Erweitert ->DNS den Haken bei "Adressen dieser Verbindung im DNS Registrieren" entfernen. Damit wird dann unter der IP kein Eintrag im DNS Server erstellt.
Diese IP musst du im IIS dann bei der Bindung auch einstellen und das entsprechende Externe Zertifikat nehmen.

Beim 2ten(internen) Adapter logischer weise keinen Gateway angeben und den DNS Haken drinnen lassen.
Im IIS jetzt den internen Servernamen auf der internen IP einstellen und das interne Zertifikat nehmen.

Nochmal im DNS Server gucken das nur die eine (interne) IP unter dem Internen DNS-Namen existiert(sich also nur der eine Adapter am DNS Registriert hat).

Wenn du beim OWA die Adresse richtig angegeben hast, versuchen die Clients sich erst mal auf die Interne Adresse zu verbinden. Diesen lösen sie jetzt auf die eine IP auf, unter der sie das interne Zertifikat geliefert bekommen.

Für den Fall der externen Verbindung muss entsprechen das Autodiscovery existieren. Also autodiscovery.mydom.de, bzw, falls möglich, einen SRV Recor machen.
Siehe https://testconnectivity.microsoft.com/
Mitglied: redlord
redlord 23.10.2014 um 13:02:11 Uhr
Goto Top
Perfekt so dachte ich mir das face-smile