8
RPC over HTTPS, einige Verständnisfragen
Anleitungen gibt es ja einige wie auch z.B. diese:
http://www.petri.co.il/configure_rpc_over_https_on_a_single_server.htm
Ich bin mir aber nicht sicher ob ich RPC überhaupt nutzen kann (wie mir hier angeraten wurde)
Derzeitiges System:
SBS2003 standard, DNS, AD, Exchange, eine NIC
feste externe IP
split DNS (da externe und interne Domäne gleich, interner forward der Domäne auf die externe IP)
externe Webseite
VPN Router
TCP Port 443 weiter geleitet auf die interne feste IP des SBS
Outlook 07 clients
POP connector holt die Mails ab.
Zugriff auf Outlook von außen ist gewünscht.
Erste Frage: Zertifikaterstellung
Zum Thema der internen/externen Benennung des Servers habe ich widersprüchliche Angaben gelesen.
Der SBS heißt server Die interne und externe Domain firma.de. Wenn ich jetzt z.B. www.firma.de angebe landen doch Nutzer auf der (externen) Webseite?! Wenn ich aber z.B. externe.firma.de eingebe findet das doch Niemand da dieser Name nicht im öffentlichen DNS veröffentlicht ist oder?
Der Meister des o.g. Links schreibt dazu:
"Important note - Internet use: You must make sure that either the Name or the Common Name fields (one of them or both of them) exactly match the external FQDN of the website. For example, if your server's NetBIOS name is SERVER1, and it is located in the MYINTERNALDOM.LOCAL domain, but it will host a website that will require users to enter WWW.KUKU.CO.IL to reach it, you must then use WWW.KUKU.CO.IL as the Name or Common Name in the certificate request wizard, and DO NOT use SERVER1.MYINTERNALDOM.LOCAL.
Mag mir das hier Jemand erklären dann erübrigt sich vielleicht schon die nächste Frage
beste Grüße
loc
http://www.petri.co.il/configure_rpc_over_https_on_a_single_server.htm
Ich bin mir aber nicht sicher ob ich RPC überhaupt nutzen kann (wie mir hier angeraten wurde)
Derzeitiges System:
SBS2003 standard, DNS, AD, Exchange, eine NIC
feste externe IP
split DNS (da externe und interne Domäne gleich, interner forward der Domäne auf die externe IP)
externe Webseite
VPN Router
TCP Port 443 weiter geleitet auf die interne feste IP des SBS
Outlook 07 clients
POP connector holt die Mails ab.
Zugriff auf Outlook von außen ist gewünscht.
Erste Frage: Zertifikaterstellung
Zum Thema der internen/externen Benennung des Servers habe ich widersprüchliche Angaben gelesen.
Der SBS heißt server Die interne und externe Domain firma.de. Wenn ich jetzt z.B. www.firma.de angebe landen doch Nutzer auf der (externen) Webseite?! Wenn ich aber z.B. externe.firma.de eingebe findet das doch Niemand da dieser Name nicht im öffentlichen DNS veröffentlicht ist oder?
Der Meister des o.g. Links schreibt dazu:
"Important note - Internet use: You must make sure that either the Name or the Common Name fields (one of them or both of them) exactly match the external FQDN of the website. For example, if your server's NetBIOS name is SERVER1, and it is located in the MYINTERNALDOM.LOCAL domain, but it will host a website that will require users to enter WWW.KUKU.CO.IL to reach it, you must then use WWW.KUKU.CO.IL as the Name or Common Name in the certificate request wizard, and DO NOT use SERVER1.MYINTERNALDOM.LOCAL.
Mag mir das hier Jemand erklären dann erübrigt sich vielleicht schon die nächste Frage
beste Grüße
loc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 108179
Url: https://administrator.de/contentid/108179
Printed on: April 18, 2024 at 01:04 o'clock
8 Comments
Latest comment
Na ganz einfach: Der CN deines SSL-Zertifikats muss dem DNS-Namen entsprechen über den dein Server von Außen erreichbar ist.
Sprich: Ich habe einen Server, der heißt intern srv1.m.xa, aber wenn ich von außen drauf zugreifen will mache ich das über srv1.example.com und darauf muss auch das Zertifikat lauten.
Grüße
Max
Sprich: Ich habe einen Server, der heißt intern srv1.m.xa, aber wenn ich von außen drauf zugreifen will mache ich das über srv1.example.com und darauf muss auch das Zertifikat lauten.
Grüße
Max
@ Max - Danke, so 100% habe ich es noch nicht klar...
Da die Webseiten extern liegen 'erreiche' ich den Router von außen mit der festen IP des DSL Anschlusses - muss ich diese dann für das Zertifikat angeben?
Weil: wie weiss denn die weite Welt das Dein srv1.example.com existiert?
In meinem Fall würde das dann heissen das der externe name server.firma.de lautet?
und der interne server.firma.local ?
Da hängt irgendwo der Fisch im Hirn bei mir...
Grüße
loc
Da die Webseiten extern liegen 'erreiche' ich den Router von außen mit der festen IP des DSL Anschlusses - muss ich diese dann für das Zertifikat angeben?
Weil: wie weiss denn die weite Welt das Dein srv1.example.com existiert?
In meinem Fall würde das dann heissen das der externe name server.firma.de lautet?
und der interne server.firma.local ?
Da hängt irgendwo der Fisch im Hirn bei mir...
Grüße
loc
Stimmt, damit die externe Welt weiß, dass es server.firma.de wirklich gibt muss der Nameserver von firma.de diesen Host in der Tabelle haben.
Wie du weitermachst hängt jetzt von deinem Anbieter ab:
a) Bei machen Hostinganbietern kann man die DNS-Einträge selbst verwalten. In dem Fall legst du einfach einen A-Eintrag für server.firma.de auf die IP des Routers an.
b) Wenn das nicht geht kannst du einfach dyndns.com benutzen. Du kannst dich dort kostenlos anmelden, einen statischen Eintrag (bei fester IP) anlegen und dann ist dein Router über firma.dyndns.org (o.Ä.) erreichbar.
c) du sprichst OWA tatsächlich nur über die externe IP des Router an, dann muss auch der CN des Zertifikats auf die IP lauten.
Grüße
Max
Wie du weitermachst hängt jetzt von deinem Anbieter ab:
a) Bei machen Hostinganbietern kann man die DNS-Einträge selbst verwalten. In dem Fall legst du einfach einen A-Eintrag für server.firma.de auf die IP des Routers an.
b) Wenn das nicht geht kannst du einfach dyndns.com benutzen. Du kannst dich dort kostenlos anmelden, einen statischen Eintrag (bei fester IP) anlegen und dann ist dein Router über firma.dyndns.org (o.Ä.) erreichbar.
c) du sprichst OWA tatsächlich nur über die externe IP des Router an, dann muss auch der CN des Zertifikats auf die IP lauten.
Grüße
Max
Hmmm c) scheint mir da am einfachste - oder irgendwelche Nachteile. Im Router dann 443 auf den Server weiterleiten und gut ist oder?
Grüße + fettes Danke!
loc
Grüße + fettes Danke!
loc
Hallo,
mit dem Name alleine ist es nicht getan: Der Client muss dem Zertifikat vertrauen - sonst funktioniert's einfach nicht (ohne Fehlermeldung). Das ist am einfachsten, wenn man sich das Zertifikat bei einem der großen kauft (Thawte, Comodo, Verisign...) (da bekommt man aber kein Zertifikat auf eine IP, nur auf Domains).
Server über IPs anzusprechen finde ich blöd. Dann ändert sich mal was, schon stimmt nichts mehr (und man braucht neue Zertifikate).
Böse Trickserei: Zertifikat auf meintollerowaserver.firma.de erstellen, und diese URL in der .hosts-Datei auf die IP biegen.
Gruß
Filipp
mit dem Name alleine ist es nicht getan: Der Client muss dem Zertifikat vertrauen - sonst funktioniert's einfach nicht (ohne Fehlermeldung). Das ist am einfachsten, wenn man sich das Zertifikat bei einem der großen kauft (Thawte, Comodo, Verisign...) (da bekommt man aber kein Zertifikat auf eine IP, nur auf Domains).
Server über IPs anzusprechen finde ich blöd. Dann ändert sich mal was, schon stimmt nichts mehr (und man braucht neue Zertifikate).
Böse Trickserei: Zertifikat auf meintollerowaserver.firma.de erstellen, und diese URL in der .hosts-Datei auf die IP biegen.
Gruß
Filipp
@filipp.
Sorry für mein blindes Gestochere, ich lerne noch...
Melde mich später.
loc
Sorry für mein blindes Gestochere, ich lerne noch...
Melde mich später.
loc
@ Max
Okay da keine IP fürs Zertifikat werden sollte habe ich nun firma.Dyndns.org auf die externe Router IP des Routers geleitet.
A. unter firma.Dyndns.org werden dann also die externen Nutzer den Server erreichen?
B. den Hosteintrag im internen DNS soll dann server.firma.de lauten und auf die externe IP des Routers forgewarded werden? warum? - siehe unten @filipp
C. der FQDN fürs Zertifikat lautet dann server.firma.de?
Wäre extrem nett und hilfreich wenn Du mir sagst ob das passt... dann kann ich wieder schlafen.
@filipp
Pardon brauche immer einen Moment um sowas zu kapieren.
Verstehe ich richtig? - Ich trage im lokalen DNS meintollerowaserver.firma.de in der Forwardzone ein und leite die weiter an die fixe IP des DSL Anschlusses? (Da wäre gleich dann meine nächste Frage: Das macht dann aber nur für interne Anfragen Sinn, oder?)
Danke Euch!
loc
Okay da keine IP fürs Zertifikat werden sollte habe ich nun firma.Dyndns.org auf die externe Router IP des Routers geleitet.
A. unter firma.Dyndns.org werden dann also die externen Nutzer den Server erreichen?
B. den Hosteintrag im internen DNS soll dann server.firma.de lauten und auf die externe IP des Routers forgewarded werden? warum? - siehe unten @filipp
C. der FQDN fürs Zertifikat lautet dann server.firma.de?
Wäre extrem nett und hilfreich wenn Du mir sagst ob das passt...
dann kann ich wieder schlafen.@filipp
Pardon brauche immer einen Moment um sowas zu kapieren.
Verstehe ich richtig? - Ich trage im lokalen DNS meintollerowaserver.firma.de in der Forwardzone ein und leite die weiter an die fixe IP des DSL Anschlusses? (Da wäre gleich dann meine nächste Frage: Das macht dann aber nur für interne Anfragen Sinn, oder?)
Danke Euch!
loc
Niemand der mir mein ABC durchwinken kann?
loc
loc
