3
Zertifikatsfehler in Exchange
Guten Abend,
sagen wir, mein Exchange Server ist von außen über owa.administrator.de erreichbar, SSL Zertifikat ist installiert, alles gut.
Intern ist er allerdings über exchange.admin.local zu erreichen. Klar, dass da ein Fehler kommt, weil das Zertifikat ja auf administrator.de ausgestellt ist und nicht auf admin.local.
Eine Möglichkeit die Fehler loszuwerden, und das ist zugegeben die einzige Möglichkeit, die nicht gepfuscht wäre, ist wohl das mit Split DNS einzurichten, damit man den Server auch intern über owa.administrator.de erreicht.
So, jetzt zur Frage:
Kann ich auf Client PCs entweder
Sämtliche Zertifikatsfehler in der internen admin.local Domain "ignorieren" lassen, sprich eben die Fehlermeldung gar nicht erst erscheinen lassen
oder sogar besser
Zertifikatsfehler eben nur für exchange.admin.local "ignorieren" ?
vielen Dank für eure Antworten!
sagen wir, mein Exchange Server ist von außen über owa.administrator.de erreichbar, SSL Zertifikat ist installiert, alles gut.
Intern ist er allerdings über exchange.admin.local zu erreichen. Klar, dass da ein Fehler kommt, weil das Zertifikat ja auf administrator.de ausgestellt ist und nicht auf admin.local.
Eine Möglichkeit die Fehler loszuwerden, und das ist zugegeben die einzige Möglichkeit, die nicht gepfuscht wäre, ist wohl das mit Split DNS einzurichten, damit man den Server auch intern über owa.administrator.de erreicht.
So, jetzt zur Frage:
Kann ich auf Client PCs entweder
Sämtliche Zertifikatsfehler in der internen admin.local Domain "ignorieren" lassen, sprich eben die Fehlermeldung gar nicht erst erscheinen lassen
oder sogar besser
Zertifikatsfehler eben nur für exchange.admin.local "ignorieren" ?
vielen Dank für eure Antworten!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 356655
Url: https://administrator.de/contentid/356655
Printed on: April 25, 2024 at 00:04 o'clock
3 Comments
Latest comment
Hallo,
Vielleicht hilft dir die folgende Seite: https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zerti ...
oder: http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/
weiter.
Gruß BB
Vielleicht hilft dir die folgende Seite: https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zerti ...
oder: http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/
weiter.
Gruß BB
Hallo,
erstmal danke für die Antwort.
In der Anleitung ist beschrieben, wie man ein selbstsigniertes Zertifikat bekommt. Afaik funktionieren Sachen wie Outlook anywhere und Autodiscover mit selbstsignierten Zertifikaten nicht, oder?
Zudem habe ich ja ein gültiges SSL Zertifikat für den Zugriff aus dem Internet, das tausche ich ja jetzt nicht durch ein selbstsigniertes aus.
Ich suche nur nach einer unschönen Möglichkeit, um um den Split DNS rumzukommen, eben weil das Zertifikat nur für die .de und nicht für die .local Domain gilt.
Am besten soll der Client nicht mal meckern, wenn er vom Server ein abgelaufenes, selbstsigniertes und auf falschen Namen ausgestelltes Zertifikat bekommt.
Ich will also gar nicht die Ursache bekämpfen, sondern nur das Symptom.
erstmal danke für die Antwort.
In der Anleitung ist beschrieben, wie man ein selbstsigniertes Zertifikat bekommt. Afaik funktionieren Sachen wie Outlook anywhere und Autodiscover mit selbstsignierten Zertifikaten nicht, oder?
Zudem habe ich ja ein gültiges SSL Zertifikat für den Zugriff aus dem Internet, das tausche ich ja jetzt nicht durch ein selbstsigniertes aus.
Ich suche nur nach einer unschönen Möglichkeit, um um den Split DNS rumzukommen, eben weil das Zertifikat nur für die .de und nicht für die .local Domain gilt.
Am besten soll der Client nicht mal meckern, wenn er vom Server ein abgelaufenes, selbstsigniertes und auf falschen Namen ausgestelltes Zertifikat bekommt.
Ich will also gar nicht die Ursache bekämpfen, sondern nur das Symptom.
Zitat von @CTTBDB:
In der Anleitung ist beschrieben, wie man ein selbstsigniertes Zertifikat bekommt. Afaik funktionieren Sachen wie Outlook anywhere und Autodiscover mit selbstsignierten Zertifikaten nicht, oder?
Doch, solange der Client der ausstellenden CA vertraut kein Problem.In der Anleitung ist beschrieben, wie man ein selbstsigniertes Zertifikat bekommt. Afaik funktionieren Sachen wie Outlook anywhere und Autodiscover mit selbstsignierten Zertifikaten nicht, oder?
Zudem habe ich ja ein gültiges SSL Zertifikat für den Zugriff aus dem Internet, das tausche ich ja jetzt nicht durch ein selbstsigniertes aus.
Verständlich und das ist ja auch nicht nötig.Ich suche nur nach einer unschönen Möglichkeit, um um den Split DNS rumzukommen, eben weil das Zertifikat nur für die .de und nicht für die .local Domain gilt.
Alle URLs auf die externe Domain umstellen auch die internen. Das Split-DNS ist nur eine effektivitätssteigernde Maßnahme damit der Traffic von internen Clients nicht über die Firewall geleitet werden. Zwingend ist Split-DNS hierbei also nicht, solange die externe und interne Domain nicht gleich sind. Nur der Router muss mit Hairpin-NAT klarkommen sonst bleiben die Pakete an am Router hängen.Am besten soll der Client nicht mal meckern, wenn er vom Server ein abgelaufenes, selbstsigniertes und auf falschen Namen ausgestelltes Zertifikat bekommt.
Das wäre sicherheitstechnischer Blödsinn. Bei korrekt eingerichtetem Autodiscover und einem Zertifikat das nur die externe Domain inkl. autodiscover Subdomain enthält wird beim Client keine Meldung auftauchen, solange man an die Verlängerung des Zertifikats denkt, das ist Pflichtprogramm!!Alle nötigen URLs ändert man komfortabel mit einem Powershell-Skript das hier erhältlich ist.
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
