8
Exchange 2013 SP1 SSL Zertifikat Frage
Hallo ihr lieben ;)
Ich habe wieder einmal eine relativ idiotische Frage....
Es geht darum einen Exchange Server 2013 SP1 auf nem Server 2012R2 zu installieren....soweit so gut.
Das einrichten/installieren ist jetzt nicht das Thema aber wieder das leidige Thema SSL!
Es werden einige Rechner in der Domäne sein, die auf den Exc zugreifen via Outlook, aber es gibt auch Clients (Handys/Notebooks) die nicht in der Domäne sind.
Die Geräten werden via Outlook Anywhere (RPC) bzw. Active Sync angesteuert.
Nun sind es imho 2 Domains die der Exchange bewältigen muss.
abc-kekse.de & pkw-kfz.com
(Beispiel Domains)
Die interne Windows Domäne lautet: 123-hosting.int (Unsere Internet-Domain 123-Hosting.net)
Jetzt wollte ich ein UCC Zertifikat bei Start SSL Ordern.
(Class 2 Validated bin ich)
Nun würde ich in das Zertifikat folgende Domains einschließen:
owa.123-hosting.net
autodiscover.123-hosting.net
mail.123-hosting.net
imap.123-hosting.net
pop.123-hosting.net
(bzw. gleich *.123-hosting.net)
Da die anderen 2 Domains auch auf den Exchange sollen und abgerufen werden sollen:
owa.abc-kekse.de
autodiscover.abc-kekse.de
owa.pkw-kfz.net
autodiscover.pkw-kfz.net
Wenn ich das nun ausstelle und in sagen wir mal einem Monat kommt noch eine Domain dazu, was dann?
Wieder nen neues Zertifikat kaufen? Kann doch eigneltich nicht sein, oder?
Gibts da keine Möglichkeit zu sagen:
Nutze bitte für Autodiscover, Owa etc.
owa.123-hosting.net
Ich stehe etwas aufm Schlauch und bitte dringend um Rat!
Gruß
Ich habe wieder einmal eine relativ idiotische Frage....
Es geht darum einen Exchange Server 2013 SP1 auf nem Server 2012R2 zu installieren....soweit so gut.
Das einrichten/installieren ist jetzt nicht das Thema aber wieder das leidige Thema SSL!
Es werden einige Rechner in der Domäne sein, die auf den Exc zugreifen via Outlook, aber es gibt auch Clients (Handys/Notebooks) die nicht in der Domäne sind.
Die Geräten werden via Outlook Anywhere (RPC) bzw. Active Sync angesteuert.
Nun sind es imho 2 Domains die der Exchange bewältigen muss.
abc-kekse.de & pkw-kfz.com
(Beispiel Domains)
Die interne Windows Domäne lautet: 123-hosting.int (Unsere Internet-Domain 123-Hosting.net)
Jetzt wollte ich ein UCC Zertifikat bei Start SSL Ordern.
(Class 2 Validated bin ich)
Nun würde ich in das Zertifikat folgende Domains einschließen:
owa.123-hosting.net
autodiscover.123-hosting.net
mail.123-hosting.net
imap.123-hosting.net
pop.123-hosting.net
(bzw. gleich *.123-hosting.net)
Da die anderen 2 Domains auch auf den Exchange sollen und abgerufen werden sollen:
owa.abc-kekse.de
autodiscover.abc-kekse.de
owa.pkw-kfz.net
autodiscover.pkw-kfz.net
Wenn ich das nun ausstelle und in sagen wir mal einem Monat kommt noch eine Domain dazu, was dann?
Wieder nen neues Zertifikat kaufen? Kann doch eigneltich nicht sein, oder?
Gibts da keine Möglichkeit zu sagen:
Nutze bitte für Autodiscover, Owa etc.
owa.123-hosting.net
Ich stehe etwas aufm Schlauch und bitte dringend um Rat!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 236580
Url: https://administrator.de/contentid/236580
Printed on: April 23, 2024 at 11:04 o'clock
8 Comments
Latest comment
Hallo,
Erst mal wenn eine zusätzlich Domain zum Zertifikat hinzu soll, dann braucht man ein neues/zusätzliches Zertifikat.
Dann bei StartSSL kannst du dir einfach ein neues ausstellen lassen, kostet soweit ich weiß nichts.
Dann grundsätzlich wenn du nur eine Zusätzliche Maildomain haben willst ändert sich am OWA usw nichts.
Sprich es gibt keine Möglichkeit nutze bitte ... da der Exchange das von Grund auf so macht.
Erst mal wenn eine zusätzlich Domain zum Zertifikat hinzu soll, dann braucht man ein neues/zusätzliches Zertifikat.
Dann bei StartSSL kannst du dir einfach ein neues ausstellen lassen, kostet soweit ich weiß nichts.
Dann grundsätzlich wenn du nur eine Zusätzliche Maildomain haben willst ändert sich am OWA usw nichts.
Sprich es gibt keine Möglichkeit nutze bitte ... da der Exchange das von Grund auf so macht.
Nabend,
besten Dank für die Antwort.
Ja ich könnte dann ein neues Zertifikat ausstellen, ist aber ein wenig aufwendig oder?
Ein kleiner hintergedanke von mir:
Ich habe hier ein paar Server im RZ stehen, auf 2 Hardwareservern laufen je:
1. Windows Server 2012 R2 mit AD, DNS
2. Windows Server 2012 R2 mit Exchange 2013
2.1 Windows Server 2012 R2 virtualisiert mit AD Replica.
Nun habe ich da meine Domain drauf und 2 von bekannten, die die Lizenzen zahlen (CAL).
Jetzt kommen in nächster Zeit vielleicht noch ein paar Leutschen an die sagen: Oh Cool kann ich da auch mit rauf.
Da dann jedes mal nen neues Zertifikat ausstellen ist doof.
Jetzt lese ich schon eine weile:
http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/
http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-ce ...
Bin aber noch nicht weitergekommen!
Ich würde gerne dahinter kommen wie z.B OVH Systems das macht!e
Die bieten Hosted Exchange an.
Deren Server werden wohl etwas größer sein, aber das tut ja nichts zur Sache.
Die haben ihre Zertifikate auf ssl0.ovh.net ausgestellt.
Nun kommt ein Kunde mit eigener Domain und möchte gerne Hosted Exchange.
OVH legt ihm da wahrscheinlich nen AD Account an und bittet den Kunden die Domains auf deren NS zu routen.
Jetzt hat OVH doch aber garkein SSL Zertifikat für die neue Domain vom Kunden....
stellen die sich dann auch jedes mal ein neues Zertifikat aus?, ich glaube nicht ne ^^
Und die werden wohl auch kein UCC Zertifikat haben für *.*.com oder *.*.de
Wie stellen die das also an?
Autodiscover kann man bei denen Problemlos nutzen, sowie OWA und alles andere auch.
und ich kann nicht mal die Kontakte von anderen OVH Kunden sehen.
besten Dank für die Antwort.
Ja ich könnte dann ein neues Zertifikat ausstellen, ist aber ein wenig aufwendig oder?
Ein kleiner hintergedanke von mir:
Ich habe hier ein paar Server im RZ stehen, auf 2 Hardwareservern laufen je:
1. Windows Server 2012 R2 mit AD, DNS
2. Windows Server 2012 R2 mit Exchange 2013
2.1 Windows Server 2012 R2 virtualisiert mit AD Replica.
Nun habe ich da meine Domain drauf und 2 von bekannten, die die Lizenzen zahlen (CAL).
Jetzt kommen in nächster Zeit vielleicht noch ein paar Leutschen an die sagen: Oh Cool kann ich da auch mit rauf.
Da dann jedes mal nen neues Zertifikat ausstellen ist doof.
Jetzt lese ich schon eine weile:
http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/
http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-ce ...
Bin aber noch nicht weitergekommen!
Ich würde gerne dahinter kommen wie z.B OVH Systems das macht!e
Die bieten Hosted Exchange an.
Deren Server werden wohl etwas größer sein, aber das tut ja nichts zur Sache.
Die haben ihre Zertifikate auf ssl0.ovh.net ausgestellt.
Nun kommt ein Kunde mit eigener Domain und möchte gerne Hosted Exchange.
OVH legt ihm da wahrscheinlich nen AD Account an und bittet den Kunden die Domains auf deren NS zu routen.
Jetzt hat OVH doch aber garkein SSL Zertifikat für die neue Domain vom Kunden....
stellen die sich dann auch jedes mal ein neues Zertifikat aus?, ich glaube nicht ne ^^
Und die werden wohl auch kein UCC Zertifikat haben für *.*.com oder *.*.de
Wie stellen die das also an?
Autodiscover kann man bei denen Problemlos nutzen, sowie OWA und alles andere auch.
und ich kann nicht mal die Kontakte von anderen OVH Kunden sehen.
Zitat von @banane31:
Ich würde gerne dahinter kommen wie z.B OVH Systems das macht!e
Die bieten Hosted Exchange an.
Deren Server werden wohl etwas größer sein, aber das tut ja nichts zur Sache.
Ich würde gerne dahinter kommen wie z.B OVH Systems das macht!e
Die bieten Hosted Exchange an.
Deren Server werden wohl etwas größer sein, aber das tut ja nichts zur Sache.
Nicht nur deren Server, vermutlich auch das ganze System dahinter und das wird was zur Sache tun.
Ich währ mir da nicht sicher ob es dafür nicht eine "separate" Exchange Version gibt.
Ah ok also eine Art "Resseller Exchange" für SPLA Kunden die das nötige Kleingeld haben ^^
hm Schade.
Trotzdem Danke an dich
Schönen Abend noch.
hm Schade.
Trotzdem Danke an dich
Schönen Abend noch.
Guten Abend,
In der günstigen OVH Lösung steht explizit "SSL Shared". D.h. Du nutzt das allgemeine OWA. Bei Variante Zwei hast du einen eigenen Server und somit eigenes Zertifikat. Nach wie vor wird nicht von allen Browsern SNI unterstützt und somit ist eine separate IP für ein Zertifikat notwendig.
Mit Exchange 2013 kann man fast alles abschirmen. Gerade Kontakte, Addressbücher, etc. ist möglich. Im Vergleich zu Exchange 2010 hat sich das Rechtesystem nochmals verbessert.
Eine spezielle SPLA Lizenz ist Mir nicht bekannt. Die Installationsmedien werden auch über das VLSC bezogen.
Grüße,
Dani
In der günstigen OVH Lösung steht explizit "SSL Shared". D.h. Du nutzt das allgemeine OWA. Bei Variante Zwei hast du einen eigenen Server und somit eigenes Zertifikat. Nach wie vor wird nicht von allen Browsern SNI unterstützt und somit ist eine separate IP für ein Zertifikat notwendig.
Mit Exchange 2013 kann man fast alles abschirmen. Gerade Kontakte, Addressbücher, etc. ist möglich. Im Vergleich zu Exchange 2010 hat sich das Rechtesystem nochmals verbessert.
Eine spezielle SPLA Lizenz ist Mir nicht bekannt. Die Installationsmedien werden auch über das VLSC bezogen.
Grüße,
Dani
Ja das habe ich auch gesehen, noch ein Beispiel wäre Quality Hosting.
Könnte man nicht ein wenig mit dem Windows DNS tricksen?
Irgendwie von autodiscover.anderedomain.de auf autodiscover.123-hosting.de weiterleiten mit nem srv eintrag oder so?
Könnte man nicht ein wenig mit dem Windows DNS tricksen?
Irgendwie von autodiscover.anderedomain.de auf autodiscover.123-hosting.de weiterleiten mit nem srv eintrag oder so?
Du kannst mit Hilfe des DNS's umleiten. Sprich die Domain "ABC.de" zeigt auf autodiscover.xyz.de. Stichwort ist SRV-Eintrag.
Machen wir genauso.
Grüße,
Dani
Machen wir genauso.
Grüße,
Dani
1
Das ist es was ich gesucht habe ;)
Da muss ich nur mal in ner Testumgebung ein wenig "rumfuschen"
Hättest du zu not sonst ein kleines HowTo oder Best PracticeVorgang`?
Da muss ich nur mal in ner Testumgebung ein wenig "rumfuschen"
Hättest du zu not sonst ein kleines HowTo oder Best PracticeVorgang`?
