Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange Zertifikat

Frage Microsoft Exchange Server

Mitglied: vBurak

vBurak (Level 1) - Jetzt verbinden

11.03.2013 um 10:54 Uhr, 4702 Aufrufe, 8 Kommentare

Hallo,

ich hatte hier schon ein Topic erstellt bzgl. Outlook Anywhere Zertifikate. (http://www.administrator.de/content/detail.php?id=201876#comment-820151) Mir ging es dort primär um die richtige Konfiguration für Exchange mit einem Zertifikat. Hier wollte ich nochmal verschiedene Möglichkeiten gegenüberstellen und Empfehlungen einholen von wem und wie die Zertifikate ausgestellt werden.

Szenario: Neuer Exchange Server 2010 in einem Domänennetz von 15 Usern, wobei 3-4 User auch mobil zugreifen wollen. Domaincontroller ist ein Srv 2008 Standard. Weitere Zertifikate werden bisher nicht benötigt, außer evtl. für SSTP aber da muss ich ncohmal überlegen.

Meiner Meinung nach habe ich vier Möglichkeiten:

a) Zertifikat für Exchange kaufen.
Pro: - ziemlich einfach, - direkt von einer vertrauenswüridge CA, - muss mir keine Gedanken machen um eigene CA, - kein Problem auf mobilen Geräten
Contra: - recht hohe Kosten wegen SAN, - keine weitere Möglichkeit selbst noch Zertifikate zu nutzen falls irgendwann benötigt

b) Exchange Self Signed Zertifikat erstellen mit "Get-ExchangeCertificate"
Pro: - ebenfalls einfach, - keine eigene CA notwendig, - Rollout des Zertifikat mit GPO kein Problem
Contra: - nur 5 Jahre gültig, - muss Zertifikat auf mobilen Geräten selbst verteilen

c) CA aufbauen und Zertifikate erstellen
Pro: - eigene CA, - Rollout kein Problem, - weitere Möglichkeit für Zertifikate
Contra: - eigene CA ;), - keine standardmäßige vertrauenswüridge CA für Non-Domänen User, - Verteilung auf mobilen Geräten problematisch, - Lizenzkosten, - nur Server 2008 STANDARD verfügbar und somit keine eigenen Zertifikate, - nur 2 Jahre gütlig (also Exchange Zertifikat, nicht CA)

d) kleine CA mit OpenSSL aufbauen
Pro: - kleine einfache CA, - lange selbstbestimmte Zertifikat Laufzeit - weitere Möglichkeiten für andere Zertifikate, - keine Kosten
Contra: - etwas unpraktisch, - kein standardmäßiges vertrauenswürdige CA Zertifikat, - Verteilung auf mobilen Geräten problematisch


Was würdet ihr bevorziehen? Die Sicherheit ist ja bei allen Möglichkeiten gleich: Es hängt von der Geheimhaltung des privaten Schlüssel ab bzw. Zugang zur CA.

Meiner Meinung nach würde ich am liebsten Option d) oder b) wählen da ich schon weis wie es geht und ich es mal getestet habe. Eine eigene Enterprise CA mit Srv 2008 R2 Enterprise ist nicht möglich, ich habe lediglich den DC zur Verfügung und dieser ist Standard. Außerdem sind die Kostengründen nicht im Leistungsverhältnis passend, da fange ich lieber erstmal klein an mit einer openSSL CA.

Danke!

Gruß,
Burak
Mitglied: catachan
11.03.2013 um 15:27 Uhr
Hi

Günstige Zertifiakte gibts bei www.startssl.com
Ein valides Zertifikat von einer Public Ca würde ich schon nehmen

LG
Bitte warten ..
Mitglied: vBurak
11.03.2013 um 17:56 Uhr
Hallo,

ich habe mit dem Chef geredet und er meinte das ein Zertifikat Kauf vllt. doch in Frage komme.

Ich hätte da auch gerne einen deutschen Ansprechpartner bei Fragen und bei Verlängerung. Ich bin auf CertCenter gestoßen was mir sehr gut gefallen hat, die bieten verschiedene Zertifikate der CAs an.

Für ein UN/SAN Zertifikat mit 4 SAN Einträgen komme ich allerdings auf 763,75 € für VIER Jahre. Ist der Preis normal und hält sich im Rahmen? Ist halt schon ein Happen aber wenn man bedenkt wofür es ist und was dahinter steckt =/.

Denoch bin ich noch für weitere Anmerkungen / Ratschlägen zu den anderen Möglichkeiten wie eigene CA mit OpenSSL offen.

Danke

Gruß,
Burak
Bitte warten ..
Mitglied: catachan
11.03.2013, aktualisiert um 18:02 Uhr
Hi

bei Startssl kostet ein SAN Zertifikat 2x60$ für die Registrierung (Class 2 + Class 3)
https://www.startssl.com/?app=40
Dann kannst du dir so viele Zertifikate ausstellen wie du willst (sind für 2 Jahre gültig)
Die CA ist in allen gängigen Browsern hinterlegt

LG
Bitte warten ..
Mitglied: vBurak
11.03.2013 um 20:29 Uhr
Hi,

warum 2x 60$? Ist ja recht billig. Und brauche ich einmal Class 2 und einmal Class 3 Oo?

Gruß,
Burak
Bitte warten ..
Mitglied: catachan
12.03.2013 um 09:43 Uhr
Hi

1x60$ für die Class2 Registrierung
1x60$ für die Company Class3 Registrierung

Zertifikate kann man dann so viele ausstellen wie man möchte. Nur EV Zertifikate kosten extra.

LG
Bitte warten ..
Mitglied: vBurak
12.03.2013 um 10:45 Uhr
Hi,

nutzt du die auch selbst? Ich hab mich noch bisschen informiert über den Anbieter und hab eher schlechtes als gutes gelesen. Die wollen wohl für die Registrierung ziemlich viele persönliche Daten wie Personalausweis, Führerschein und sonst was und man darf die Dokumente auch nicht mit Wasserzeichen irgendwie markieren. Ist ja auch ne Firma aus Israel oder so, ehrlich gesagt ist mir das nicht so ganz geheuer!

Trotzdem vielen Dank!
Bitte warten ..
Mitglied: catachan
12.03.2013 um 10:46 Uhr
Hi

ja ich nutze es selber auch. Leider ist das Übermitteln von persönlichen Dokumenten auch bei anderen Anbietern notwendig. Die müssen ja wissen wer du bist. Darum gehts ja bei der Validierung

LG
Bitte warten ..
Mitglied: vBurak
15.03.2013 um 17:12 Uhr
Hallo,

ich hätte noch eine Frage, da wir jetzt doch anscheinend ein Zertifikat kaufen.

Wir kriegen bei diesem Zertifikat Paket folgende Adressen mit

meinefirma.de
owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de

Ich will aber als externe URL für den Exchange Server exchange.meinefirma.de. Ich habe mit den abgeklärt, das Zertifikat läuft Primär auf exchange.meinefirma.de und die SAN sind dann


owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de

Nun bin ich aber etwas vorsichtig, da ich nämlich letztens noch es so getestet habe und anscheinend hat es gestört das "exchange.meinefirma.de" nicht in den SAN Namen drin steht. Somit kam es zur Zertifikat Warnung.

Ist es normal das die Adresse für die es primär ausgestellt ist (also der Common Name oder?) nicht im SAN steht oder muss dies auch sein? Macht es Sinn, dann als externe Domäne für Exchange owa.meinefirma.de einzustellen?

Auf meine Frage ob exchange.meinefirma.de auch in den SAN drin steht meinte er nein, das wären nur die 3 anderen.

Bitte um Hilfe!

Danke

Gruß,
Burak
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
iOS
gelöst Iphone merkt sich Exchange Zertifikat nicht (6)

Frage von xbast1x zum Thema iOS ...

Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...